「K8S 生態週報」內容主要包含我所接觸到的 K8S 生態相關的每週值得推薦的一些信息。歡迎訂閱知乎專欄「k8s生態」。git
從去年 Docker 將企業服務相關的業務出售給 Mirantis 以後,Docker 將重心放在助力開發者體驗上,併爲此作了一系列的努力。 包括 1 月份發佈了 Docker Desktop v2.2 ,提供了 WSL2 的新架構,以及新的交互式 Desktop Dashboard 等特性。github
本週又發佈了首個 Docker GitHub Action,簡化了 CI/CD 的流程。docker
這其實也是從另外一個角度來推動 DockerHub 的普及(比預期的晚了一些)。DockerHub 上一直都有構建 Docker 鏡像的功能,但我我的感受體驗並不夠好,從通常意義上來講,它不夠靈活;另外我感受它的調度略慢了一點(雖然如今在優化中了)。visual-studio-code
但本次發佈的 Docker GitHub Action 可讓用戶能夠更靈活的經過 GitHub Action 來定義本身的 workflow,並將鏡像推送至鏡像倉庫。這裏的鏡像倉庫並無和 DockerHub 強制綁定,用戶能夠自定義鏡像倉庫的地址。安全
使用示例以下,完整的項目可參考 docker-github-action 。 須要額外注意的是, 若是你的倉庫是公開的,請注意將本身的用戶名密碼等設置爲 secrets ,可參考下方示例,以防泄漏。bash
- name: Build and push Docker images
uses: docker/build-push-action@v1.0
# Username used to log in to a Docker registry. If not set then no login will occur
username: ${{ secrets.DOCKER_USERNAME }}
# Password or personal access token used to log in to a Docker registry. If not set then no login will occur
password: ${{ secrets.DOCKER_TOKEN }}
# Docker repository to tag the image with
repository: ${{ secrets.DOCKER_USERNAME }}/${{ secrets.DOCKER_PROJECT }}
# Automatically tags the built image with the git reference as per the readme
tag_with_ref: true
# Automatically tags the built image with the git short SHA as per the readme
tag_with_sha: true
# Path to run docker build from
path: .
# Name of the Dockerfile (Default is 'path/Dockerfile')
dockerfile: Dockerfile
# Always attempt to pull a newer version of the image
always_pull: true
# Adds labels with git repository information to the built image
add_git_labels: true
# Whether to push the image
push: true
此外 Visual Studio Code Docker extension 1.0 也在本週發佈了!聽說比以前版本的都好用,使用 vsc 的小夥伴能夠嘗試下。架構
etcd 本週發佈的 v3.4.5 包含了一些:工具
其餘變動,請參考其 ReleaseNotepost
Aqua Security 開源的 trivy 是一款鏡像漏洞安全掃描程序,對 CI 友好。visual-studio
可能有些小夥伴不太瞭解 Aqua Security 這家公司,但大多數人都或多或少用過或者瞭解過它的一些開源項目:
近期,trivy 的受權協議從 AGPL v3
修改爲了 Apache-2.0
,這個事情的意義在於,更多的廠商或者公司能夠不用擔憂 trivy 自身的受權協議,能夠在本身的產品或者環境中集成使用 trivy 了!
目前包括 Harbor,Docker 及 Mirantis Docker Enterprise 等正在或者將使用 trivy 做爲其默認鏡像安全掃描工具。
但須要注意的是,trivy 使用的數據源有些是仍是禁止商用來着。
Reloader 是一個 Kubernetes controller ,它會 watch ConfigMap
或 Secrets
,而後對使用這些資源的 Pod 執行滾動升級。
注意它只兼容 Kubernetes v1.9 及以上。若是有相關需求的小夥伴能夠進行嘗試。