全球首個開放應用模型 OAM 開源 | 雲原生生態週報 Vol. 23

做者 | 臨石、元毅、冬島、衷源、天元

業界要聞

全球首個開放應用模型 OAM 開源

2019 年 10 月 17 日，阿里巴巴合夥人、阿里雲智能基礎產品事業部總經理蔣江偉（花名：小邪）在 Qcon 上海重磅宣佈，阿里雲與微軟聯合推出開放應用模型 Open Application Model （OAM）開源項目。OAM 的願景是以標準化的方式溝通和鏈接應用開發者、運維人員、應用基礎設施，讓雲原生應用管理與交付變得更加簡潔，高效，而且可控。

KubeVirt 進入 CNCF Sandbox

KubeVirt 儘管容器技術提供了各類便利，可是在特定狀況下使用 VM 仍然是不可避免的（編者按：VM 只是選擇之一，不一樣的安全容器解決方案均可以在不一樣方面代替單純的 VM）。來自 Redhat 的 KubeVirt 項目能夠提供在 K8s 集羣內部準備、部署、運行和管理 VM 的能力，讓用戶可使用 Pod 同樣來使用一個 VM。如今，這個項目已經正式進入了 CNCF 的 Sandbox 了。

Megalix 發佈 KubeAdvisor 1.0 版本

KubeAdvisor 日前發佈了 1.0 版本。KubeAdvisor 一款輔助 K8s 運維的工具，可以掃描 K8s 集羣的資源、狀態、配置等，經過提供恰當的「可觀測性」（編者按：眼花繚亂的監控數據和曲線圖不等於可觀測性），爲集羣使用者提供最有價值的信息，來輔助保障基礎設施和上層應用的可靠性和穩定性。

上游重要進展

1.容許動態調整 kube-scheduler 的 log level。kube-scheduler 做爲 K8s 重要的默認調度組件，在一些狀況下它們的日誌能夠反映出很多信息，這個 PR 容許 kube-scheduler 的日誌打印級別能夠動態被調整。

2.調度器方面最近的一個舉動是將一些 Prioritizing 的邏輯插件化（Score Plugin）。最近幾個相關的PR以下，感興趣的同窗可××× BalancedResourceAllocation

• MostRequestedPriority
• LeastResourcePriority

3.爲 scheduler 添加一個跟蹤 Binding 和 Prioritizing 的 goroutine 數目的 metric。

在大規模應用部署等一些特殊場景中，調度器可能成爲總體性能的瓶頸。

4.這裏有兩個優化 kubeadm 使用體驗的 PR：

1. kubeadm 的 structured output：結構化輸出 kubeadm 的一些輸出信息（yaml、json 等），方便被繼續處理；
2. kubeadm 添加 --with-ca flag 來顯示 ca 的過時信息：ca 過時是常見的形成組件不可用的願意之一，有了這個 flag 能夠更方便的指導 ca 的過時信息。

5. 下面是幾個比較重要 / 有意思的 KEP，感興趣的朋友可××× 1. 爲 Kube API Server 的 network proxy 添加了 beta 版畢業條件。KAS 容許配置 Kube API Server 的網絡流量到（或者不到）指定的 proxy；
   1. insecure kubelet log：經過一個開關，使得在 kubelet 的 serving cert 過時（kube apiserver 不認識 kubelet）但kube-apiserver 的 client cert 沒有過時（kubelet 認識 kube apiserver）的條件下，容許 kubelet 經過跳過 tls 驗證返回一些 log。這個功能在測試和debug的場景是有用的。
   2. 規範化 conformanece test 的內容的實施（文檔、API schema、代碼檢驗、專家知識等）
   3. 擴展 NodeRestriction Controller 來限制更多 Node 能夠 Pod 進行的操做（主要是來自安全上的考慮）；
   4. HPA 的狀態達到 implementable
   5. 兩個計劃中的 GA，對於想要參與到 K8s 社區的新手貢獻者來講，這兩個 KEP 是不錯的切入點（目標、方法很明確的需求）
   6. 根據 Node condition 給 Node 打上 taint 標記，自動化幫助調度器識別出不適合的調度節點；
   7. 以前 DaemonSet 的調度邏輯是在 DaemonSet controller 中的，這個 KEP 但願把調度邏輯移動到調度器中實現。

開源項目推薦

VMware-Tanzu

VMware 已經開始全面支持 K8s，最近該公司在開源方面的一個舉措是將幾個本身擁有的雲原生開源項目遷移到了新的 Organization：VMware-Tanzu。這個項目中目前包括下面幾個項目：

• velero：應用遷移工具
• octant：一個集羣狀態展現的 dashboard
• sonobuoy：一個 K8s 分析工具
• ······

k8s-transmogrifier

K8s 1.16 中廢棄了大量的 API，影響到不少的已經用於生產的集羣配置和 Helm chart 等。這裏有一個自動轉換 K8s 1.16 中的 depreciated 的 API 的工具，有須要的人能夠了解一下。

本週閱讀推薦

1.《阿里巴巴的研發模式是如何演進的？》

隨着雲計算的不斷髮展，不少開發者都對這一技術將爲開發方式帶來的變化充滿興趣，雲計算解決的是從 CAPEX 到 OPEX 的轉變問題。雲能夠帶來哪些切實的好處？在雲環境下應該怎麼作應用架構？基於從傳統架構到雲架構的親身經歷，阿里巴巴合夥人、阿里雲智能基礎產品事業部總經理蔣江偉（小邪）闡述了企業由新架構和新研發模式帶來的價值點。本文整理自正在召開的 QCon 上海 2019 蔣江偉（小邪）的演講內容。

2.《How Zalando manages 140+ Kubernetes Cluster》

本文介紹了 Zalando 的團隊在（公有云上）管理數量棒龐大的 K8s 集羣中獲得的一些實踐經驗，例如每一個 domain 或者 production community 老是部署雙集羣（prod & non-prod）、使用 Github 託管配置文件、經過 CLM（Cluster Lifecycle Manager）管理升級等等。

3.《Liveness Probes are Dangerous》

Liveness Probe 和 Readiness Probe 是 K8s 中判斷應用是否可用的重要工具，然而不正確的使用 Liveness Probe 或者 Readiness Probe 會帶來的風險（例如不當心使用了外部依賴、Liveness Probe 有時候反而會阻止 Pod 正確的進入失敗狀態從而沒法完全恢復健康等），這篇文章總結了使用這二者的最佳實踐。

4.《A Practical Guide to Setting Kubernetes Requests and Limits》

Kubernetes 資源定義中的 request 和 limit 是老生常談的問題了，本文除了更好的解釋這些概念意外，還從 SLA 的角度提供瞭如何配置它們的建議。

5.《Protecting Kubernetes API Against CVE-2019-11253 (Billion Laughs Attack) and Other Vulnerabilities》

本文經過介紹 K8s 中的一個可能致使 billions laughs attacks 漏洞的例子，講解了在生產環境中使用 K8s 的常規安全操做，包括正確配置 RBAC、按期檢查 Role 和 RoleBinding、永遠不要暴露 Master host 的地址等等。

6.《基於 Knative Serverless 技術實現天氣服務-下篇》

上一期咱們介紹瞭如何基於 Knative Serverless 技術實現天氣服務-上篇，本篇文章咱們介紹如何經過表格存儲提供的通道服務，實現 Knative 對接表格存儲事件源，訂閱並經過釘釘發送天氣提醒通知。關於 Knative 更多精彩文章請看 《Knative 系列文章》。

「 阿里巴巴雲×××icloudnative×××erverless、容器、Service Mesh等技術領域、聚焦雲原生流行技術趨勢、雲原生大規模的落地實踐，作最懂雲原生開發×××