CNCF 宣佈 TUF 畢業 | 雲原生生態週報 Vol. 33

做者 | 孫健波、汪萌海、陳有坤、李鵬

業界要聞

1. CNCF 宣佈 TUF 畢業

CNCF 宣佈 TUF（The update Framework）項目正式畢業，成爲繼 Kubernetes、Premetheus、Envoy、CoreDNS、containerd、Fluentd Jaeger 以及 Vitess 以後，第九個正式畢業的項目。TUF 是一項用於保護軟件更新系統的開源安全技術，也是從雲原生計算基金會畢業的第一個以規範與安全性爲重點的項目。與此同時，TUF 仍是首個源自高校的 CNCF 畢業項目。

1. Istio 發佈安全公告

• CVE-2019-18801：該漏洞經過向下遊發送 HTTP/2 大 header 請求影響 Envoy 的 HTTP/1 編解碼器，利用此漏洞可能致使拒絕服務、權限逃逸或信息泄露；
• CVE-2019-18802：HTTP/1 編解碼器沒有修剪掉 header 值以後的空格，使攻擊者能夠繞開 Istio 的策略，最終致使信息泄露或特權升級；
• CVE-2019-18838：收到不帶 "Host" header HTTP 請求後， Envoy 路由管理器會因爲空指針致使 Envoy 進程異常終止。

解決方案

• 對於 Istio 1.2.x 版本：升級到 Istio 1.2.10 或以上；
• 對於 Istio 1.3.x 版本：升級到 Istio 1.3.6 或以上；
• 對於 Istio 1.4.x 版本：升級到 Istio 1.4.2 或以上。

1. 2020 年 Service Mesh 三大發展趨勢

• 隨着 Kubernetes 的愈發普及和標準化，應用場景愈來愈複雜，服務網格的需求會快速增長；
• Istio 的先發優點會愈來愈明顯，以致於它很難被擊敗，由於愈來愈多的軟件供應商會提供 Istio 的解決方案；
• 更多的使用場景會出現，目前服務網格的使用場景主要在 "mTLS（統一鑑權解決方案）"，「應用可觀測性解決方案」，「流量管理解決方案」，2020 年會出現服務網格技術的殺手級解決方案。

上游重要進展

Kubenetes

1. add KEP: Node Maintenance Lease

增長用於 Node 協做的租約，該提案主要解決的是多個組件對 Node 均有操做，加鎖獨佔的問題，好比在線 debug Node 問題的時候，又好比 Node 更新系統起做用的時候，不但願 Node 快照備份系統起做用。

1. K8s 調度器升級計劃進入到階段二

• 一階段是構建了新的調度框架，目標是把 scheduler 變成一個執行不一樣擴展插件的 callback 的引擎，能夠註冊 callback 函數，把一系列調度計算、預測相關的函數做爲 plugin；
• 二階段的主要目標是把原先內置在 K8s scheduler 裏面的預測和調度算法移入對應的 plugin 中經過調度框架調用，許多 PR 圍繞該目標在展開。

1. K8s 社區子項目 rktlet 正式被歸檔

rktlet 是基於容器運行時 rkt 項目的 CRI（Container Runtime Interface） 實現，相似 kubelet，隨着 rkt 項目退出 CNCF，rktlet 也無人維護，現在正式被移出。

Knative

1. Knative serving PodSpec 功能性

在 Knative 中，RevisionTemplateSpec 像 PodSpec 的一個子集，只實現了部分功能。爲了保持 Knative 的簡易性，哪些字段須要加，哪些字段不須要加，文檔中列出了一些條件。另外針對運維角色，有些字段不是面向開發的，但 K8s 都把字段暴露出來了，K8s 這樣作不意味着 Knative 也須要這樣作，能夠把它做爲一個 Configmap 的配置值或者新增運維的 CRD。

1. 關於事件域 Eventing domains

在事件系統中，事件生產者和消費者一般不直接通訊。在許多狀況下，都涉及充當事件總線的消息中間件。經過這種方式，能夠對事件進行集中管理，消費者和生產者能夠發出和訂閱哪些內容，而且能夠設置過濾器或策略。所以，引入了事件域的定義。

Istio

1. 社區在討論如何緩解 Istio CNI 競爭問題

Istio CNI 競爭問題是指在經過使用 Istio CNI 插件配置容器網絡安裝 iptables 規則時，可能會遇到應用程序的 pod 在 Istio CNI 配置完成以前就啓動，致使出現沒有配置 iptables 規則的應用程序 pod 出現，這會致使安全問題，由於能夠繞開全部的 Istio 策略檢查。

社區討論了可能在 Istio1.5 中提供的短時間方案，並提出長期方案是但願 K8s 提供標準方法：在節點調度 Pod 以前，確保關鍵守護程序已經準備好；若是關鍵守護程序失敗，請污染節點。後續將與 K8s 社區繼續討論。

開源項目推薦

1. OAM Go SDK

基於OAM（開放應用模型）的 Go 語言 SDK，SDK 中包含了 OAM Spec 的解析和 Controller 框架，能夠快速構建 OAM 的實現，快速對接標準應用模型。

1. Vault

Vault 是 HashiCorp公司（旗下還有Vagrant，Terraform，Consul 等知名產品）維護的開源軟件，它的設計思想基於雲原生背景下動態基礎設施的特色，在雲上的不一樣網絡層以及不一樣的服務之間已經很難找到傳統的信任邊界，服務之間更增強調以身份（identity）爲核心的認證和訪問控制，而不是像傳統靜態基礎設施中以 IP、主機地址做爲信任憑證（與 K8s 對接）。

1. kube-score

kube-score 是 K8s 對象靜態檢查工具，經過分析 K8s 對象的 Yaml 文件作一些推薦，以提高可靠性和安全性。

本週閱讀推薦

1. 《The Open Application Model from Alibaba's Perspective》

InfoQ 國際總站發表文章《阿里巴巴視角下的開放應用模型》，詳細講述了 OAM 的由來以及阿里巴巴在 K8s 應用管理上的實踐。

1. 《Dynamic Database Credentials with Vault and Kubernetes》

使用 Vault 在 Kubernetes 體系中提供動態數據庫鑑權信息，文中針對雲原生場景下 Pod 生命週期短、變化快等問題，Vault 提供了一系列 Policy 解決動態鑑權信息注入的問題。

1. 《Debugging and Monitoring DNS issues in Kubernetes》

在 Kubernetes 上 debug DNS 問題的指南。

1. 《將 Sidecar 容器帶入新的階段 | KubeCon NA 2019》

本文介紹了螞蟻金服和阿里巴巴集團場景下對 Sidecar 容器的各類使用方式。

1. 《容器十年：隔離性、效率與兼容性》

從 2008 年基於內核 cgroup 的 LXC 誕生至今，現代 Linux 的容器化已逾 10 年，前後有基於 cgroup/namespace 的進程隔離容器技術、基於 CPU 硬件指令集的虛擬化技術，以及經過重寫內核功能實現的用戶空間內核容器技術紛紛登場，各有千秋。

1. 《StackRox 2020 預測：從 Kubernetes 到 DevOps》

StackRox 的聯合創始人，首席技術官Ali Golshan 對 2020 年技術發展作了一些預測，這些預測涉及 Kubernetes 和服務網格技術的增加。

「 阿里巴巴雲原生關注微服務、Serverless、容器、Service Mesh 等技術領域、聚焦雲原生流行技術趨勢、雲原生大規模的落地實踐，作最懂雲原生開發者的技術圈。」