【Container周報第153期】CNCF公布平臺工程白皮書，K8s程式碼儲存庫搬新家

2023/4/1～4/28 精選容器新聞：

#K8s更新、#儲存庫搬家
K8s在四月初發布1.27版更新，一口氣推出60項強化功能，更要注意K8s儲存庫搬家了

K8s社群在4月11日發布了1.27版新版，雖然取了一個歡樂的代號(代號Chill Vibes，意思是放鬆氛圍），但其實這次改版的幅度相當大，一次發布高達60項的更新，其中包括了18項Alpha版測試新功能，另外有29項進入穩定堪用的Beta版，以及13項結束測試階段成為正式功能。 其中一項重點是，提供K8s程式碼的容器映像檔儲存庫轉移到registry.k8s.io，取代了過去由Google維護的 k8s.gcr.io，來提高可用性。從4月開始，K8s的1.24、1.25和1.26版更新，將不會發布到舊版儲存庫中，企業得留意K8s原始碼來源若沒有更新，可能會出現錯誤訊息。

進入正式版的13項功能中，值得留意的是時區功能和CronJob排程管理，還有seccomp在1.27版成為預設功能，也就是說，這個用來限制Linux核心系統呼叫上限的功能，將成為預設，來避免錯誤配置導致容器暴增耗光資源而讓系統當機的情況。

#Platform Engineering、#CNCF
雲原生浪潮帶動平臺工程崛起，CNCF公布平臺白皮書，整理成功平臺的關鍵做法

隨著雲原生成為主流開發技術，不只發展出SRE方法論，最近也催生出平臺工程（Platform Engineering）新作法，從原本SRE團隊中，更細分出新的專責團隊，來服務內部的開發團隊或工程團隊。國外越來越多企業設立平臺工程團隊，或將現有IT維運團隊，轉型成平臺工程團隊來負責非功能性需求。

CNCF日前更公布了一份平臺白皮書，歸納了平臺工程的發展趨勢，整理出這份白皮書。內容涵蓋打造一個成功平臺的關鍵做法，包括平臺有哪些重要的關鍵元素、如何組成一個平臺團隊，還有企業或組織擁抱平臺工程時會面臨的挑戰，另外還有一套衡量平臺績效的作法推薦，以及現有平臺工程工具和相關雲端服務清單。

例如CNCF在白皮書中就指出，一個成功的平臺有7大元素，包括了平臺產品化(Platform as a product)、重視使用體驗和開發者體驗(User experience)、提供了豐富文件和新手指南(Documentation and onboarding)、採取自助服務設計(Self-service)，還要盡可能降低認知負載(Reduced cognitive load for users)，並且要能提供選擇和組合能力(Optional and composable)，最後一項是得具備Secure by default的思維。

不只提供了平臺設計的技術實務，在白皮書中提出一個成功的平臺工程團隊有四大任務，第一項就是必須要設立平臺產品經理，才能以產品思維來管理這個平臺的發展，其次要研究平臺使用者（開發者）的需求，來規畫相關功能的發展藍圖，雖然是內部用的平臺，但是也要定期揭露產品藍圖，第三項則是要負責平臺價值（效益）的行銷、推廣、倡導行為和教育，平臺工程團隊不只是開發團隊，更是推廣團隊。最後一項任務才是技術性任務，平臺團隊要負責管理和開發使用者介面、可觀測性能力和相關服務，包括平臺入口網站、API、文件和範本、CLI工具。

#平臺工程、#IDP
Google和麥肯錫帶頭，開源社群發布內部開發平IDP開發指南

隨著平臺工程浪潮崛起，如何打造一套自助式的內部開發者平臺，成了雲原生開源社群的新話題，最近，Google和麥肯錫多位產品經理更帶頭，集結開源社群，整理了一份內部開發者平臺的指南網站，從為何要注重內部開發者平臺的建置開始談起，更整理了內部開發者平臺的核心五大元素，包括了要有應用程式配置管理、基礎架構調度、環境管理、部署管理以及角色權限管理，也提供了一個內部開發者平臺的績效指標參考，10項開發流程作業的參考指標。另外還列出的提供內部開發者平臺服務的工具和雲端供應商，讓企業不用從頭開始自行打造。

#軟體供應鏈安全、#相依性分析自動化
5000萬個軟體版本後設資料集免費開放，還能自動產生相依性關係圖來判斷軟體供應鏈風險

Google推出兩款保護開源軟體供應鏈安全的工具，其一是發布deps.dev API，供開發者免費存取deps.dev資料集，該資料集含有超過5,000萬個開源軟體套件版本的安全後設資料，另外，Google雲端的Assured OSS服務也正式開放，用戶可以方便取用經Google安全驗證過的開源套件。
deps.dev資料集收集來自Go、Maven、PyPI、npm和Cargo等5大軟體打包生態系的套件後設資料，涵蓋5,000萬個套件版本，Google不只收集還匯總這些資料，產生遞移相依關係圖、安全諮詢報告、OpenSSF安全計分卡等資訊，用戶不僅可以直接從deps.dev網站人工查詢，或是以雲端資料倉儲服務BigQuery進行大規模批次分析，現在還可以使用新推出的API，以程式開發方法即時存取資料集，並在自家工具、工作流程和分析中使用這些安全性資料。

#平臺工程實例、#ESG新創
用Chatbot降低開發者認知負擔，ESG新創揭露自家平臺工程作法

平臺工程浪潮開始崛起，也開始有率先採用者出面分享自家平臺工程建置經驗，例如永續科技新創Clarity AI。這是一家提供ESG分析服務的新創，每周追蹤200萬個數據點，利用AI模型進行ESG評分，可以評估不同類型活動的碳排數據，作為提供企業ESG分析所需，臺灣也有金融業者使用其ESG分析來提供顧客消費碳排數據。Clarity AI一位平臺工程經理Eduardo Ferro Aldama日前揭露了自家發展平臺工程的經驗。

他表示，Clarity AI為了三大目標開始發展平臺工程，甚至設立的專責團隊，第一是希望用來降低開發團隊的認知負載，減少錯誤或是降低新技術或元件的導入阻力，第二是為了改善工程團隊的生產力，例如平臺團隊打造的自助式內部開發者平臺，可以用來減少相互等待、提高部署頻率、縮短上線準備時間（commit to production)，最後一項目的則是可以將發布系統的管理權，和產品擁有權整合，來統一產品專案從開發到上線的管理。

例如Clarity AI打造了一個開發團隊的內部Chatbot，開發團隊在聊天室送出執行一項K8s任務的執行命令後，就會啟動相關的部署作業，也會把每一步的執行過程，以檢查清單的方式條列出來，讓開發者更清楚所下的指令的執行進度，而不像過去列出長篇敘述文字或Log紀錄。Eduardo Ferro Aldama表示，這就是一個降低開發者認知負載的好點子。(圖片來源：Eduardo Ferro Aldama)

#容器安全、#EKS
AWS威脅偵測服務開始支援容器安全偵測，可以即時監測EKS Runtime的威脅

AWS威脅偵測服務Amazon GuardDuty最近發布三項更新，將防護範圍擴大至容器、資料庫和無伺服器應用，包括了可以偵測容器化工作負載威脅的EKS Runtime Monitoring，以及偵測Aurora資料庫資料的潛在威脅的RDS Protection，還有可分析Lambda應用程式相關惡意行為的Lambda Protection。

GuardDuty使用機器學習和異常行為偵測等技術，整合AWS自家與其他安全威脅情報，持續分析AWS帳戶和資源活動，來偵測諸如惡意行為、未經授權的存取，或是不安全來源等潛在威脅。也能即時阻擋連接埠掃描、惡意軟體橫向移動，以及已知惡意IP位置活動等不尋常行為。EKS Runtime Monitoring功能引入了一個全託管的輕量級安全代理，可以分析和監控主機作業系統的行為，諸如檔案存取、程序執行和網路連接等。

#網路效能強化、#AKS
微軟AKS正式提供CNI Overlay，大幅提高網路效能和雙叢集擴展限制

微軟在其Kubernetes服務AKS正式推出Azure CNI Overlay，這是一項能夠突破現有AKS網路工作負載規模和效能的服務，其所提供的網路效能可與主機網路相當，並且使叢集能夠線性擴展。微軟開發了新的Azure CNI Overlay解決方案。微軟在CNI之上創建了一個抽象層，簡化和最佳化網路配置，Azure CNI Overlay會從用戶所定義的抽象層地址空間分配IP地址，而不使用虛擬網路中的IP地址。

#叢集管理、#GKE
Autopilot成為GKE預設叢集運作模式，不用再手動開啟自動管理基礎設施並提升安全性

GKE最近宣布預設啟用Autopilot叢集模式。Google希望，透過預設啟用Autopilot大幅降低Kubernetes的學習曲線，能夠管理節點池和節點，讓剛接觸Kubernetes的用戶，也能夠妥善管理Kubernetes。Autopilot適合用於各種用例的預設配置，針對工作負載進行最佳化，用戶不需要計算節點大小和機器規格。Autopilot功能會自動根據定義啟動需要的基礎設施，並且配置需要的污點（Taint）和容忍度（Tolerations）屬性。

Autopilot相容於Kubernetes，能夠支援大多數Kubernetes工作負載，像是區塊存儲裝置StatefulSets、DaemonSets以及用於機器學習的GPU任務，同時也支援營運工作負載所需，包括OPA/Gatekeeper、Webhooks和IP偽裝等技術。

#Copilot、#AI輔助開發
VS Code揭露Copilot Chat新功能預覽，在程式碼行內就能與AI對話協作

微軟推出VS Code 1.77新版，最大特色是與GitHub深度連結，並且提供TypeScript/JavaScript的switch陳述式自動完成功能，開發者也可以使用到最新的Copilot Chat整合功能，在編輯器向人工智慧提問，並且獲得程式碼建議。

Copilot現在會在開發者處理程式碼時，在行內顯示建議，開發者也可以隨時在程式碼編輯器中向Copilot提問，並要求Copilot尋找程式碼內的臭蟲，解釋程式碼的意義，甚至是創建測試。Copilot的對話框現在會出現程式碼的下方，供用戶輸入指令。不過，開發者要使用這項深度整合功能，除了需要獲得Copilot Chat存取權限之外，還要安裝GitHub Copilot Nightly版本擴充套件，以及Insiders版本VS Code。

更多新聞

New Relic調查：Amazon超越甲骨文成為最受歡迎的JDK供應商

@資料來源：iThome整理，2023年4月

責任編輯：王宏仁