K8S 生態週報| 首個 Docker 官方 Action 發佈

「K8S 生態週報」內容主要包含我所接觸到的 K8S 生態相關的每週值得推薦的一些信息。歡迎訂閱知乎專欄 「k8s生態」。

首個 Docker 官方 GitHub Action 發佈了

從去年 Docker 將企業服務相關的業務出售給 Mirantis 以後，Docker 將重心放在助力開發者體驗上，併爲此作了一系列的努力。
包括 1 月份發佈了 Docker Desktop v2.2 ，提供了 WSL2 的新架構，以及新的交互式 Desktop Dashboard 等特性。

本週又發佈了首個 Docker GitHub Action，簡化了 CI/CD 的流程。

這其實也是從另外一個角度來推動 DockerHub 的普及（比預期的晚了一些）。DockerHub 上一直都有構建 Docker 鏡像的功能，但我我的感受體驗並不夠好，從通常意義上來講，它不夠靈活；另外我感受它的調度略慢了一點（雖然如今在優化中了）。

但本次發佈的 Docker GitHub Action 可讓用戶能夠更靈活的經過 GitHub Action 來定義本身的 workflow，並將鏡像推送至鏡像倉庫。這裏的鏡像倉庫並無和 DockerHub 強制綁定，用戶能夠自定義鏡像倉庫的地址。

使用示例以下，完整的項目可參考 docker-github-action 。
須要額外注意的是， 若是你的倉庫是公開的，請注意將本身的用戶名密碼等設置爲 secrets ，可參考下方示例，以防泄漏。

- name: Build and push Docker images
  uses: docker/build-push-action@v1.0
  with:
    # Username used to log in to a Docker registry. If not set then no login will occur
    username: ${{ secrets.DOCKER_USERNAME }}  
    # Password or personal access token used to log in to a Docker registry. If not set then no login will occur
    password: ${{ secrets.DOCKER_TOKEN }}
    # Docker repository to tag the image with
    repository: ${{ secrets.DOCKER_USERNAME }}/${{ secrets.DOCKER_PROJECT }}
    # Automatically tags the built image with the git reference as per the readme
    tag_with_ref: true
    # Automatically tags the built image with the git short SHA as per the readme
    tag_with_sha: true
    # Path to run docker build from
    path: .
    # Name of the Dockerfile (Default is 'path/Dockerfile')
    dockerfile: Dockerfile
    # Always attempt to pull a newer version of the image
    always_pull: true
    # Adds labels with git repository information to the built image
    add_git_labels: true
    # Whether to push the image
    push: true

此外 Visual Studio Code Docker extension 1.0 也在本週發佈了！聽說比以前版本的都好用，使用 vsc 的小夥伴能夠嘗試下。

etcd v3.4.5 發佈

etcd 本週發佈的 v3.4.5 包含了一些：

• #11704 在 server 端的日誌中記錄了 /health 的檢查結果，主要是爲了便於在 etcd 掛掉時分析根因；
• #11694 修復了一個在處理 metrics 可能引發的異常;

其餘變動，請參考其 ReleaseNote

Trivy 受權協議變動爲 Apache-2.0

Aqua Security 開源的 trivy 是一款鏡像漏洞安全掃描程序，對 CI 友好。

可能有些小夥伴不太瞭解 Aqua Security 這家公司，但大多數人都或多或少用過或者瞭解過它的一些開源項目：

• kubectl-who-can
• kube-bench
• kube-hunter

近期，trivy 的受權協議從 AGPL v3 修改爲了 Apache-2.0，這個事情的意義在於，更多的廠商或者公司能夠不用擔憂 trivy 自身的受權協議，能夠在本身的產品或者環境中集成使用 trivy 了！

目前包括 Harbor，Docker 及 Mirantis Docker Enterprise 等正在或者將使用 trivy 做爲其默認鏡像安全掃描工具。

但須要注意的是，trivy 使用的數據源有些是仍是禁止商用來着。

推薦閱讀：全面易用的鏡像漏洞檢測工具：Trivy

上游進展

• 這是一個對 Kubernetes v1.16 的修復，將一系列主線中的修復都合併到了 v1.16 。這裏專門提到它，是由於若是你集羣中有不少節點變 NotReady 時，可能會致使 control plane 超載，出現不可用的狀況。主要的修正都在 NodeLifecycleController 上，建議想要使用或者正在 v1.16 版本的用戶關注下此問題（若是集羣規模不大，那受此問題影響的可能性比較小），詳情請查看 #88959

項目推薦

Reloader 是一個 Kubernetes controller ，它會 watch ConfigMap 或 Secrets，而後對使用這些資源的 Pod 執行滾動升級。

注意它只兼容 Kubernetes v1.9 及以上。若是有相關需求的小夥伴能夠進行嘗試。

---

歡迎訂閱個人文章公衆號【MoeLove】