Rancher新2.4版增加了100個CIS資安指標掃描能力,來檢查K8s應用的安全性

4/2~4/14 精選容器新聞

#API優先權 #K8s新功能

K8s 1.18版暗藏未來關鍵新功能,API優先權新設計初測中

3月中釋出的K8s 1.18版中,一口氣多了38項新功能,其中只有15項是正式功能,其他大多是測試功能,甚至有12項是實驗性高的Alpha版初測功能。三位來自Google、螞蟻金服和IBM的工程師,最近特別在K8s官網揭露一個1.18版中新加入的重要功能:API優先權和公平性(API Priority And Fairness)設計,這就是Alpha功能中,少人注意到但影響深遠的改變。這個功能主要用途是讓叢集管理員設計不同的優先權重等級,負責管理K8s所有API的伺服器,每收到任何API呼叫請求時,就會依據這次呼叫所屬的等級,來分配所能得到的流通量。

API伺服器可以用來控制變動或讀取量的上限,來避免主機CPU或記憶體超載的把關者,但是,目前K8s的設計上,只能區分異動用請求和唯讀用的請求這兩大類,而無法進行更細緻的調控,所以,常會出現某一種使用情境的請求特別高的情況。簡單來說,若某一個K8s服務的請求大增,一旦塞爆了這個控制所有API的API伺服器,就會連帶地影響了其他K8s內部服務的呼叫,例如影響到系統控制器的運作,或是一兩個故障節點連續狂送請求,可能就會導致整座叢集大塞車,其實塞住的是那個扮演交流道功能,負責指揮的API伺服器。

這個新增的API優先權和公平性設計,可以建立一個流量架構(Flow Schema),來定義不同的流量指標所能擁有的優先權等級。API伺服器再依據不同的等級來安排API呼叫的執行順序,另外,執行完一次請求要挑選下一次要執行的請求時,也會使用一個公平性演算法來檢查,避免某些重要的請求一直被塞在後面而無法執行,進而影響了整體叢集的運作。

目前,這樣的API優先權設計還有一些不足的機制有待開發,例如對於還必須修改系統監控機制的支援,讓這樣的API優先等級的影響,也能反映到是視覺化監控報表上呈現,這也是下一版要先改良的地方。

#K8s管理 #資安掃描
Rancher小改版,可支援到2千叢集十萬節點,未來目標是百萬叢集

K8s管理平臺Rancher最近釋出2.4新版,再次提高擴充能力,這次改版後可支援到2千個叢集,最多共10萬個節點,目前架構設計上,也以百萬叢集為目標來考量。另外也增加了遠端升級功能,可由本地端K3s叢集來決定是否自動升級。另外,新版也開始支援不關機維護機制,可以在不影響應用程式的情況下,來升級K8s叢集。另外一個新特色是,引進了CIS資安掃描,利用公開的100項CIS資安指標,來檢查RKE叢集的資安問題。新版也提供了一個AWS實例的安裝部署套件,方便企業快速建議一個全功能的Rancher伺服器,可達99.9%的服務水準,但若部署在其他雲端平臺則無法保證SLA,如GKE和AKS。

#AIOps #雲端成本管控
雲端AI優化工具推出3個月免費,靠AI自動調校K8s工作負載

一家AIOps雲端優化業者Opsani宣布,因應疫情推出3個月免費服務,可用AI技術來優化企業部署在雲端的K8s,自動調度到效能夠用但更便宜的部署環境,來降低企業租用雲端服務的成本。這項服務主要利用AI來追蹤不同K8s應用的執行效能,再依據應用所需的CPU和記憶體用量,將工作量動態調度到成本較低的執行環境,也可協助優化JVM等中介軟體的配置。這個AIOps工具也可整合到常見的DevOps工具鏈的服務或監控服務,例如GitHub、Terraform、Jenkins、Prometheus等。

#PaaS,#SAP,#IBM
CloudFoundry基金會開始認證K8s作為CFP內建容器管理平臺

不少雲端PaaS業者採用Cloud Foundry的PaaS作為應用層平臺軟體,例如IBM、SAP,當然還有VMware的雲端平臺都使用了Cloud Foundry PaaS來建置。最近,Cloud Foundry基金會宣布,將開始認證K8s可以作為CF PaaS的內建容器管理平臺,可以用來取代他們原本的Diego容器管理平臺。原本就已經採用Digo的企業,仍舊可以繼續使用,但新的K8s認證措施,也意味著Cloud Foundry PaaS也開始大舉向K8s靠攏了。

#ECS #EFS #AWS Fargate
AWS雲端容器服務小更新,強化對自家雲端儲存EFS的支援

最近AWS雲端容器服務ECS有項小幅更新,強化對雲端檔案儲存服務EFS的支援,讓靜態容器應用,更容易透過EFS來跨區域部署。另外,AWS也同步更新Fargate容器代管服務對EFS的支援,並且改用Containerd來取代相對較複雜的Docker Engine,來提高容器核心引擎的執行效率。不過,目前這兩項更新都仍是預覽版本。

#持續派送 #Argo
CNCF孵化專案又多了一款持續派送平臺Argo

最近CNCF同意持續派送平臺Argo專案的加入,成為孵化專案之一。Argo是一組Kubernetes原生工具,可用來執行和管理在Kubernetes上運作的應用程式與工作,Argo專案是由一間名為Applatix的企業,在2017年時創建,Applatix在2018年的時候被Intuit收購,之後BlackRock也加入貢獻Argo專案的行列,並且與Applatix共同積極發展專案以及經營社群。

#Krustlet #Virtual Kubelet
在K8s上部署WebAssembly應用有新工具

開發者將應用程式編譯成WebAssembly後,可以利用一個新興的部署工具Krustlet工具來部署。Krustlet的設計類似Virtual Kubelet,可以從Kubernetes API事件串流中監聽新的Pod;Virtual Kubelet是一個開源Kubelet實作,而Kubelet則是Kubernetes叢集的必要元件,叢集中每個節點都會啟動Kubelet,來處理主節點派送的任務,以及管理節點上的Pod。

#應用程式交付 #Dragonfly
K8s雲端檔案發布系統Dragonfly正式進入CNCF孵化器

由阿里巴巴集團貢獻的Dragonfly專案,正式進入CNCF孵化器階段。這是一個K8s專用的雲端原生映像檔和檔案發布系統,也是阿里巴巴容器平臺中的骨幹技術,每年支援數十億次的應用程式交付。Dragonfly在2018年的時候被CNCF沙盒接收,並被中國移動、滴滴和螞蟻金服等企業採用。透過P2P映像檔和檔案發布協定,Dragonfly能有效減輕映像檔註冊表和網路的負載,以提升使用者體驗,由於P2P技術可以充分利用每個同儕的頻寬資源提升下載速率,能節省大量的跨IDC頻寬以及昂貴的跨境頻寬。最新版本Dragonfly 1.0,已經用程式語言Go全部重寫,來提高雲端擴充性。

#Prometheus #日誌分析
Grafana Lab推出Prometheus日誌分析平臺的企業級產品Cortex,自己先試用三年

Grafana Lab釋出了Cortex 1.0,這是一款以Prometheus來打造的開源時間序列資料庫與監控系統,具有水平擴展架構,以及幾乎無限的留存資料能力,目前為CNCF沙盒專案。1.0增加了多個讓用戶更容易用於生產的改進,像是提供詳細的部署步驟,以及簡單入門模式。Grafana Lab自己在內部生產環境中用Cortex長達三年,如Grafana Cloud的託管日誌和指標平臺的後端都是Cortex。

#開源專案管理 #按功能付費
GitHub核心功能全免費,私有儲存庫的協作人數不再有上限

從「按私密性付費」(Pay by Privacy),全球最大的開源專案代管平臺GitHub開始轉為按功能付費(Pay by Feature)的模式。最近GitHub執行長Nat Friedman宣布,核心功能將永久免費,尤其是原本私有專案的3名協作者上限,也取消,不再限制人數,現在改為以專案所用的儲存量來計算,免費版只能儲存500MB,超過得使用付費版,另外,免費版的Actions數量也只提供每月每分鐘2千次呼叫。原本付費使用開源Team版本的用戶,現在全部免費。不過,免費版只會提供社群支援,企業級支援得付費才有。

責任編輯/王宏仁 

更多Container相關動態

-VMware修補vCenter Server高風險漏洞
-Canonical推出應用託管服務,可代管10款應用上雲端


Advertisement

更多 iThome相關內容