作者:小君君(才云)、bot(才云)
技术校对:星空下的文仔(才云)
案例:Adobe 部署 K8S 的 7 条经验
Twitter 宣布全面转向 K8S
K8S 提供的和不提供的安全功能
新 Codefresh 功能将减少使用瓶颈
Docker Enterprise v3.0 测试版发布
Rook v1.0 正式发布
《API 网关与服务网格:打开应用程序现代化的大门》
《etcd 实现原理》
被美国签证拦在 CS 顶会外的学者
GitHub 遭黑客攻击
Oracle 杀死 Java EE
Kubernetes 资讯
1.Adobe 部署 K8S 的 7 条经验
近日,在 Denver 举行的开放式基础设施峰会上,Adobe Advertising Cloud 的工程师 Mike Tougeron 和 Tony Gosselin 分享了他们在 7 个数据中心部署 Kubernetes 的 7 个经验。
概要如下:
-
良好沟通与团队合作。Tougeron 建议团队领导者单独会见所有关键负责人,而后部署所有可用的通信手段,确保任何变更的信息可以转达到团队的每个人;
-
确保管道的高效运行。他们从使用多个 repo 变成了使用一个 monorepo(其中包含存储在同一位置的多个项目代码)。虽然这为他们带来了好处,但也为用户使用 Kubernetes 增加了些许障碍;
-
具备生产的基础知识。将 Kubernetes 部署转向 DevOps 时,他们发现 Dev 和 Ops 的结合,有时会使一些重要的知识被重新洗牌,并导致遗漏;
-
面对多云挑战。Adobe Advertising Cloud 分布在 AWS 和 OpenStack 以及跨越 6 个全球区域的私有云中的工作负载之间。为了利用容器提供的灵活性,该公司首先在 AWS 中部署了 3 个 Kubernetes 集群,然后将它们部署到 OpenStack 中,但集群不能被直接转移。为了实现这一目标,他们将集群作为实验室,用于测试跨云环境的变更。同时,他们还开发了一个名为 OSSIA 的 工具 来解决 OpenStack 中的反亲和问题;
-
了解应用程序。Gosselin 表示:Kubernetes 的运作方式与我们习惯的裸机以及虚拟化基础设施不同,不要以为你将应用程序放在 Kubernetes 的容器中,它就会起作用;
-
基于度量进行监控。他们选择在一个地方汇总所有基于指标的监控结果,以便大家可以一起研究相关性,评估资源请求与实际的使用情况;
-
自动缩放的好处和挑战。弹性伸缩应只部署所需资源,从而到达节省成本的目的。
在公众号后台回复 “ Adobe ” ,即可 获取该案例文档。
2 . Twitter 宣布全面转向 K8S
美国时间 5 月 2 日,Twitter 在旧金山举行了一次技术发布会 [1] 。在会上,Twitter 计算平台产品与技术负责人 David McLaughlin 宣布,由于 Mesos 的技术架构正日益暴露问题,Twitter 的基础设施将从 Mesos 全面转向 Kubernetes。
同时, Twitter 也解释了他们选择 Kubernetes Native 的依据 :
-
优秀的开源技术与开源生态;
-
全世界所有的公有云都提供 Kubernetes 服务,不必担心厂商锁定;
-
Native 具备有状态业务(Stateful Application)的管理语义;
-
Kubernetes 项目本身迭代快,具有很强创新能力和先进性;
-
具备标准的存储对接接口,能帮助 Twitter 无缝迁移各种现有存储服务。
最后,Twitter 用一句话总结了评估结果:“我们认为,使用 Kubernetes 项目作为 Twitter 公司基础设施向前演进的核心依赖,将会是一个正确的选择。”
3. K8S 提供的和不提供的安全功能
近日,Twistlock 产品营销和传播总监 Sonya Koptyev 发布了一篇关于 Kubernetes 提供的和不提供的安全功能的博客。该博客可帮助开发者更好地理解 Kubernetes 安全相关问题。
其中, Kubernetes 包括的安全功能有:
-
Pod 安全策略;
-
身份验证和授权;
-
基于角色的访问控制;
-
数据加密;
-
资源访问限制。
Kubernetes 不包括的安全功能有:
-
容器内的漏洞;
-
主机安全;
-
容器仓库安全;
-
容器运行时。
最后,Sonya Koptyev 表示:Kubernetes 可以实施身份验证和访问控制策略,并执行其他基本任务(如限制资源消耗),减轻安全漏洞造成的不良影响。但对于一些核心安全风险,像容器镜像的安全、运行时的安全等,Kubernetes 将无法保护。 不过开发者可以利用其他工具为集群提供安全保障。
4. 新 Codefresh 功能将减少使用瓶颈
近日,Codefresh 引入了全新的用户界面和丰富的升级功能,使代码更改变得更便捷。 Codefresh 的新工具 May 可帮助开发人员采用 CI/CD,减少使用瓶颈,确保快速部署。
在 Codefresh 的一项调查中,他们发现,32% 的开发人员表示他们没有 CI/CD 或其他正确的自动化工具来帮助他们更频繁地部署集群,这使得利用云原生技术变得更具挑战性。但是,May 可以通过以下升级解决这个问题:
-
以项目为重点:new Projects 组件允许开发人员将管道、secret 和权限分组到一个易于管理的 Hub 中;
-
管道创建向导:Codefresh 的新管道创建向导简化了流程,并处理了 webhook 的创建,为 Go 、 Java 、Node.js、 Python 、Ruby on Rails、Scala 等提供快速启动模板;
-
插件贡献:Codefresh 插件是简单的 Docker 镜像。Codefresh 的步骤更容易创建,因为不需要学习特殊的 API,这个模型消除了传统的插件冲突问题。当开发人员要选择创建管道的工具时,提供了更大的灵活性。
5. Docker Enterprise v3.0 测试版发布
2019 年 4 月 30 日,Docker 宣布 Docker Enterprise v3.0 的公开测试版可以开始注册了。根据 Docker 的高级产品营销经理 David Hamdani 的博客显示,该版本是一个桌面到云的企业容器平台,使组织能够构建和共享任何应用程序,并在任何地方安全地运行它们(从混合云到边缘)。
同时,该版本最新增加的 Desktop Enterprise 将企业平台直接带入到开发人员的桌面中。它旨在提高生产力并缩短应用程序开发和部署之间的时间。
该版本其他更新情况如下:
-
更新的安全功能可解决访问和部署控制。Docker Enterprise v3.0 的安全增强功能包括用于 Swarm 的组管理服务帐户等;
-
Docker Kubernetes Service(DKS)附带 Kubernetes v1.14,开箱即用。它提供了从开发人员桌面到生产服务器的 Kubernetes 之间的集成,通过同步生产环境来简化工作负载。
测试版试用地址:
https://beta.docker.com/
6. Rook v1.0 正式发布
近日,CNCF 宣布 Rook v1.0 正式发布。Rook 是 Kubernetes 的开源云原生存储协调器。如今,该项目在 GitHub 上已经超过 5000 颗星星,并被 fork 近 4000 万次。
以下是 Rook v1.0 的更新情况:
-
rook.io 网站已完全重新设计,提供新的体验、用户指南和文件布局;
-
Ceph operator 现在支持 Nautilus(Ceph 的最新主要版本)以及它的所有新特性和改进。Nautilus 加入了现有的 Luminous 和 Mimic 版本支持。此外,Ceph 集群升级过程现在已完全自动化;
-
EdgeFS 通过 OpenStack Swift 和一个新的 iSCSI 块存储 CSI 驱动程序添加了重要的新存储协议支持。一个全新的管理体验已被建立,其中包括友好的“向导”,它可以将你的集群设置为直接管理 YAML 文件的替代选项;
-
通过添加新的动态供应支持,Rook 的 NFS opeartor 的可用性得到了很大的改进。现在,当 Pod 请求 NFS 文件系统时,Rook 将按需提供并准备它,而不需要任何手动干预。
博文推荐
1.《API 网关与服务网格》
在文中,Datawire 的技术顾问兼产品架构师 Daniel Bryant 论述了将应用程序与基础架构解耦的动机。同时,他探索出了一种部署集成的 API 网关和服务网格的方法,不仅可以提供一个增量路径,还可以将流量从终端用户路由到新服务和现有服务中。 此外,实现这种网关到网格的解决方案,还有其他一些好处,包括端到端流量加密和应用级网络指标可观察性的改进。
文章链接:
https://www.infoq.com/articles/api-gateway-service-mesh-app-modernisation
2.《etcd 实现原理》
etcd 是一个开源的、分布式的键值对数据存储系统,提供共享配置、服务的注册和发现,在 CoreOS 和 Kubernetes 等开源项目中被广泛使用。 本文作者深入分析了 etcd 存储模块的设计和实现,对于深入学习 Go 存储有很大参考价值。
文章链接:
https://www.codedump.info/post/20181125-etcd-server/
AI 资讯
1. 被美国签证拦在 CS 顶会外的学者
日前,一名网友在 Reddit 发起请愿,请求机器学习、深度学习的顶会(如 ICML、NeurIPS、ICLR 等)不要再把美国选为大会举办地,因为美国政府近年来频频以 “政治原因” 为由阻拦计算机科学家参加大会,对全球许多科学家造成了消极影响。
该请愿书的内容摘要如下所示:
作为全球顶级计算机科学会议,SIGGRAPH、NeurIPS 和 ICML 等大会每年都会吸引数千名参与者。这些会议对计算机科学家群体的影响无疑是巨大的,因为这是一个呈现研究工作成果的机会,也是一个了解当前最先进成果的机会。毫无疑问,这些会议是计算机科学研究人员的年度盛典。然而,由于某些国家政府施加的签证政策,许多人无法参加这些会议。
这种情况在美国尤为普遍,短短五天的会议,一些国家的公民却需要耗时几个月才能拿到美国签证。伊朗、俄罗斯、中国,美国政府正对这些国家的研究人员进行针对性的严格审查,这令人难过,也是对研究人员的羞辱。
这份请愿书的目标是:
-
历数拿到美国签证的难点;
-
号召放弃将美国作为计算机科学学术会议的候选举办地。
请愿发起后,目前已有数百名研究人员签名请愿。而除了美国,加拿大——这个经常举办顶会的国家——也受到了诟病,因为大量科学家同样也被加拿大签证拦在了国门外。
总而言之,每次学术顶会开幕之前,签证都会成为一个备受关注的问题。而这次请愿与其说是针对北美二国,更是学术界的研究人员对于科学知识自由跨国界传播的呼吁。
请愿地址:
http://kks.me/bqHCh
其他
1. GitHub 遭黑客攻击
近日,一些 程序员 发现他们在 GitHub 上托管的源代码和 repo 已消失不见。上周四,一位 Reddit 用户写了一篇帖子,说他的存储库被黑了。代码也被删除了,取而代之的是黑客留下的一封勒索信。
黑客在信中表示,他们已经将源代码下载并存储到了自己的服务器上。受害者要在 10 天之内,往特定账户支付 0.1 比特币(约合人民币 3800 元),否则他们将会公开代码,或以其他方式使用它们。 虽然有数百名受害者,但目前黑客并没有勒索成功。相反的,在 Bitcoin Abuse 数据库上, 黑客的钱包地址已被 30 多人举报。
2. Oracle 杀死 Java EE
此前,Oracle 将其主导的 Java EE 技术及相关的 GlassFish 技术重新授权给 Eclipse 基金会,包括参考实现、技术兼容性工具包 (TCKs) 以及“相关的项目说明文档”,并希望通过 Eclipse 基金会在开源项目治理、Java EE 及相关技术方面的丰富经验共同将 Java EE 带向更美好的未来。
在移交的过程中,Oracle 要求为该平台重新取名,同时向 Eclipse 提出一系列其无法接受的要求,包括基金会发行的产品必须只能捆绑由甲骨文认证的 Java 运行时,这意味着 Eclipse 基金会的产品将不再是供应商中立,基金会的免税状态将可能不再有效,这对基金会而言将是财务上的灾难。除此之外,EF 基金会还被要求不能修改旧的代码。如若修改,就需要重新命名(包括项目名称和软件包的名称)。
最终经过多月的协商双方达成的共识是,Jakarta EE 不能发布针对基础库 javax 的修改包,Jakarta EE 规范也不能使用包括 Java 商标的现有规范名称 [2] 。
--
参考文献:
1. https://mp.weixin.qq.com/s/i06e4Zq7IwpHnZX0taKX7w
2.https://mp.weixin.qq.com/s/bZadTTVhTtieevHrXB9DFw
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。