阿里巴巴 Kubernetes 能力再獲 CNCF 承認 | 雲原生生態週報 Vol. 32

做者 | 丁海洋  陳有坤 李鵬  孫健波

業界要聞

1. 阿里巴巴 Kubernetes 技術能力再獲 CNCF 承認

CNCF 官網發佈博文《Demystifying Kubernetes as a Service – How Alibaba Cloud Manages 10,000s of Kubernetes Clusters》。這篇長文從爲何須要超大數量的 K8s 集羣，以及如何高效的管理這些集羣出發，系統介紹了 Alibaba 在 Kubernetes 上取得的成績。

2. GitHub 欲在中國設立子公司

今年早些時候傳出多起 Github 封鎖伊朗、敘利亞、克里米亞等地區的 Github 帳號，加上目前中美貿易戰的大背景，Github 背後的微軟須要爲不少可能性進行準備。一個問題是：中國子公司真的能夠在貿易戰白熱化的時候幫助微軟和中國開發者嗎？不管如何，多年來開源運動對當前 IT 技術的貢獻你們有目共睹，而 Github（依然）是彙集開發者最好的平臺，我想每個負責任的開發者，不管國籍，都應該好好思考將來可能會如何，作好應對。

上游重要進展

Kubernetes

• Support external signing of service account keys

目前 K8s apiserver 仍是從硬盤讀取 service account 的 keys，並在運行時保存在內存中。鑑於如今 apiserver 已經支持驗證和發佈 projected volume tokens，咱們能夠考慮開始經過 API 支持外部簽發和校驗 token。

• Certificated API 改進

CSR（CertificateSigningRequest）支持多 signer。

Knative

Knative v0.11.0 版本已於 12 月 10 號正式發佈，下面兩篇文章將對新版本進行解讀，讓你快速對 v0.11.0 版本有所瞭解：

• Knative Serving 0.11.0 版本變動
• 解讀 Knative Eventing v0.11.0 新特性

Istio

Istio1.5 開發中，計劃一月中 code freeze , 二月中發佈。

• 備受矚目的 Mixer v2 正在緊鑼密鼓地開發中：其中使用 V8 的 Telemetry v2 預計將在 1.5 版本中達到 alpha 狀態；
• 引入更好的傳輸安全：Istio 使用 mTLS 在網格內的工做負載之間提供傳輸安全性。可是目前 Istio 的某些架構選擇致使了至關大的實現複雜性、設計混亂和協議衝突。這個 Proposal 指出了一些現有的難題，並探討可能的解決方案。

其餘內容更新：

• 社區新提出的 Istio meta API ，用於支持 Envoy 協議路由：提供 Envoy 的 Extensions，其中 protocol filter 的做者僅解析 metadata（headers），並做爲 attributes 公開給框架；而框架能夠徹底基於屬性來路由流量，無需瞭解協議。這個提案目前處於很是早期的討論中；

• Istio Config API Versioning Design：從 1.11 開始，Kubernetes 支持在 CustomResourceDefinition（CRD）中指定多個版本。 在 1.15 中，對 Conversion Webhook 的支持處於 beta 狀態，預計將在 1.16 中穩定。 Istio API 當前只具有單個版本，隨着 Istio 的 API 變得愈來愈成熟，須要爲每一個 Istio API 支持多個版本。這將使 Istio 在改進 API 的同時仍能支持可能正在使用舊版 API 的用戶。

開源項目推薦

1. ansible/awx

這是 Red Hat 發佈的對其內部的 Ansible Tower 系統的開源實現，有興趣的同窗能夠去看一下。

2. oam/admission-controller

一個 Go 語言開發的 K8s Admission Controller 爲 OAM 標準 spec 提供轉換和校驗的功能，該開源項目不只能夠用於 OAM 的 spec 校驗，也能夠用來學習如何編寫一個 K8s Admission Controller。

本週閱讀推薦

1. 《Run Ansible Tower or AWX in Kubernetes or OpenShift with the Tower Operator》

Ansible Tower是Red Hat內部的自動化Ansible平臺的核心組件，AWX是Ansible Tower的開源實現，二者的關係相似Fedora和RHEL。這篇文章使用一個Operator來建立和管理試用版的Ansible Tower。

2. 《Develop a Kubernetes controller in Java》

一篇來自 K8s 官方的 Blog，介紹瞭如何使用 Kubernetes Java SDK 來開發 Kubernetes Controller。

3. 《Chaos Engineering: the history, principles and practice》

混沌工程是在大規模複雜系統中尋找問題的最佳實踐，這篇文章系統介紹了混沌工程的歷史、原則以及實踐中須要注意的問題。<br />https://www.gremlin.com/chaos-engineering/

4. 《What I learned from Reverse Engineering Windows Containers》

在 Docker 開啓容器技術大潮的時候，Windows 是有一點落後的，但不出意外的，微軟很快發佈了支持 Windows 的容器技術。除了一些官方的文檔，關於 Windows container 的技術細節是不多的，本文做者經過 reverse engineering 解析了 Windows 容器在進程、文件調用、系統調用等方面的一些細節，對這方面感興趣的同事不要錯過。

5. 《Highlights from KubeCon US and Re:Invent 2019 + Live WKP Demo》

Weaveworks 本身總結了一篇 KubeCon US 和 ReInvent: 2019 的一些 highlight，固然也不忘 promote 本身一下，有興趣的同窗能夠看看。

6. 《虛擬化 Pod 性能比裸機還要好，緣由居然是這樣！》

VMware 在 VMworld 上宣佈的太平洋項目 (Project Pacific)。根據其官博上發佈的信息，太平洋項目中經過虛擬化實現的 Native Pods，比物理機（裸機）上 Kubernetes 的 pod 有 8％ 的性能提高！這個內容是十分搶眼的，由於不是很符合邏輯。這篇文章解釋了這個性能提高的緣由，簡單的說，就是用好 NUMA。

7. 《Knative Serverless 之道：如何 0 運維、低成本實現應用託管？》

Knative 做爲最流行的應用 Severlesss 編排引擎，其中一個核心能力就是其簡潔、高效的應用託管服務。阿里雲的工程師在該分享中對此進行了詳細的講解。

「阿里巴巴雲原生關注微服務、Serverless、容器、Service Mesh 等技術領域、聚焦雲原生流行技術趨勢、雲原生大規模的落地實踐，作最懂雲原生開發者的技術圈。」