云原生动态周报 | Istio 1.11正式发布

vlambda
2021-08-18

云原生动态周报 | Istio 1.11正式发布

云原生一周精选

Istio 1.11正式发布
CNCF云原生调查2021:第2部分开放
美国国家安全局出品的《Kubernetes Hardening Guidance》中文翻译出炉
eBPF基金会成立

Istio 1.11正式发布

北京时间8月12号，Istio社区如期发布1.11版本，这是今年第三个版本。

以下是此版本的一些亮点：

1) CNI插件提升为Beta特性

默认情况下，Istio通过注入init container的方式设置网络拦截规则。这就要求用户或者Service Account具有足够的权限在部署容器的时候为其增加“NET_ADMIN”和“NET_RAW”能力。要求 Istio 用户具有提升的 Kubernetes 权限可能会导致组织内的安全合规性出现问题。Istio CNI插件是Istio init container的替代品，它具有完全相同的功能，但是他不需要用户提升Kubernetes的权限。

1.11版本中，社区通过改进文档和测试将CNI插件功能提升为Beta，以确保用户在生产中安全启用此功能。

2) 外部控制面提升为Beta特性

去年，社区引入了新的部署模型：Istio控制面部署在它所管理的集群之外。这允许管理控制平面的网格所有者和在网格中部署和配置服务的网格用户之间的分离。在单独的集群中运行的外部控制面可以控制单个数据面集群或者多集群网格模型的多个集群。

3) 网关注入

Istio网关作为与外部进行交互的一种方式，过去，Istio安装过程中会将网关以Deployment的形式部署，然而网关和集群普通的Sidecar相比，却拥有完全独立的配置，这使得网关的管理和升级变得复杂，尤其是集群中拥有多个网关的时候。

网格注入将网关的管理与Sidecar保持一致，您在全局代理上设置的配置将应用于您的网关，并且过去不可能的复杂配置（例如，将网关作为 DaemonSet 运行）现在变得很容易。您还可以在集群升级后通过重新启动 pod 将网关更新到最新版本。除此之外，社区还发布了网关安装知道文档，涵盖了安装、管理、升级的最佳实践。

4) MCS(多集群服务)支持

MCS是Kubernetes生态中定义的管理多集群服务的一组API，它允许管理员或者服务创建者控制服务和Endpoints在多个集群之间导入导出。

Istio 1.11实验性的增加了对MCS的支持，必须要注意的是，MCS特性与Istio默认的行为服务在全局（任何集群）可见相互冲突。

CNCF云原生调查2021:第2部分开放

上周，云原生调查 2021——第 2 部分正式开放！

提醒一下，今年CNCF决定将调查分为两部分，以便更容易、更快捷地填写。第 1 部分主要介绍云、容器和 Kubernetes，而第 2 部分将介绍 CNCF 项目和其他云原生技术。

这是CNCF第五年对社区进行调查，以便更好地了解云原生的状态。CNCF社区充满了知识渊博的人，他们致力于最新和最创新的云原生技术。

CNCF将收集和分享以下方面的见解：

在生产中采用 CNCF 项目。
组织是如何使用不同的云原生技术，包括 CI/CD、无服务器、服务网格、服务代理和存储。
关于 CNCF 的一些想法和看法。

CNCF 利用从调查中收集的信息，更好地了解当前的云原生生态系统。社区可以使用它作为数据点，在开发云原生策略时加以考虑。

通过填写调查来帮助 CNCF 和社区！在 9 月 30 日前完成调查，有机会赢得2021 年北美 KubeCon + CloudNativeCon的 10 张免费虚拟入场券之一！

填写调查问卷：

美国国家安全局出品的《Kubernetes Hardening Guidance》中文翻译出炉

近日美国国家安全局（NSA）和网络安全与基础设施安全署（CISA）发布了一份网络安全技术报告 Kubernetes Hardening Guidance（查看英文原版 PDF： https://media.defense.gov/2021/Aug/03/2002820425/-1/-1/1/CTR_KUBERNETES HARDENING GUIDANCE.PDF）。

Jimmy 翻译了本书，译作《Kubernetes 加固指南》（或译作《Kubernetes 强化指南》）中文版。

点击阅读中文版： https://jimmysong.io/kubernetes-hardening-guidance

eBPF基金会成立

旧金山时间，8月12日，Facebook，Google，Isovalent，Microsoft和Netflix共同成立eBPF基金会，设立在Linux基金会下，以子基金会的形式运作。

eBPF允许开发人员安全有效地将程序嵌入任何软件，包括操作系统内核。因此，eBPF 正迅速成为实现一系列通过基础设施用例的首选方法，显着提高效率和性能，并显着降低系统的复杂性。例如，Facebook 正在使用 eBPF 作为其数据中心的主要软件定义负载均衡器，而 Google 正在使用 Cilium 将基于 eBPF 的网络和安全性引入托管 Kubernetes 产品 GKE 和 Anthos。

“eBPF 是一项革命性的技术，它使我们能够实时修改操作系统行为，而无需更改风险或昂贵的内核代码。它对我们快速迭代从网络到安全再到容器化的所有内容的能力产生了显着影响，”Facebook 内核开发人员 eBPF 的共同创建者和维护者 Alexei Starovoitov 说。

“eBPF 是 Linux 社区中发生的这种创新的最好例子之一，它包含了我们自然可以托管的技术。它还代表了操作系统和微服务交付的未来，”Linux 基金会总经理兼项目高级副总裁 Mike Dolan 说。“我们期待支持 eBPF 基金会和社区的工作。”

vlambda博客
学习文章列表