云原生爱好者周刊：服务网格的困境与破局

云原生一周动态要闻：

KEDA 从 CNCF 沙箱项目迁移到孵化项目

Harbor Operator 1.1.0 发布

Litmus 2.0.0 发布

Grafana 8.1.2 发布

OpenSSH 8.7 发布

开源项目推荐

文章推荐

云原生动态

KEDA 从 CNCF 沙箱项目迁移到孵化项目

CNCF 技术监督委员会（TOC）已经投票决定接受 KEDA 成为 CNCF 的孵化项目。

Kubernetes Event-Driven Autoscaling（KEDA）是一个用于 Kubernetes 的单一用途的事件驱动自动调节器，可以很轻松地添加到 Kubernetes 集群中来扩展应用。它的目的是简化应用程序的自动缩放，并通过支持扩展到零来优化成本。

KEDA 创建于 2019 年 5 月，是微软和红帽的合作项目，并于 2020 年 3 月加入 CNCF 沙盒。自加入沙盒以来，该项目的终端用户有了很大的增长，包括阿里巴巴、CastAI、KPMG、Meltwater、微软等。该项目团队由来自微软、红帽和 Codit 三个组织的 4 名维护者组成。

详情见

Harbor Operator 1.1.0 发布

Harbor Operator 1.1.0 已经发布。值得注意的功能包括：

支持部署 Harbor v2.3
支持 Kubernetes 1.21 版本
将入口版本升级为 v1
完善 CRD 定义，提供一致的数据库、存储和缓存配置规范（引入新的 CRD 版本 v1beta1）
支持用基于 CRD 的声明方式应用 day2 配置
支持用负载均衡器公开 Harbor 服务
为 S3 存储提供额外的配置选项
以一致的格式进行日志记录
扩展底层运算符（PostgreSQL、Redis 和 Minio）的支持版本

了解更多细节，请查看 v1.1.0 发布页面。

Litmus 2.0.0 发布

Litmus 2.0.0 为 LitmusChaos 平台带来了更新的功能，使混沌工程的实践更加高效。以下是新版本的显要特征：

混沌中心
- 一个混沌控制平面或门户，提供对跨数据中心/云的多个集群的混沌操作的集中管理。控制平面通过安装在注册集群上的代理进行实验。
- 包括记录在案的 API，可用于以编程方式调用混沌。
- 围绕混沌执行提供可视化能力和分析。
- 支持项目-团队-用户的结构，以便在团队内协作进行混沌操作。
Litmus 工作流
- 引入混沌工作流--(a)自动设置依赖关系(b)帮助创建有多个故障的复杂混沌场景(c)支持定义负载/验证工作和混沌注入。
- 提供了以不同方式创建/运行工作流的灵活性--通过模板，从集成中心，以及自定义上传。
多租户
- 支持设置（控制平面和代理）和执行混沌实验：集群范围和命名空间范围模式，以帮助在共享集群中以自助服务模式进行操作
可观测性和稳态假设的验证
- 提供更多带有额外过滤器的 Prometheus 指标集--可用于应用仪表盘的仪表，以观察混沌影响。
- 提供多样化的探针集，自动验证稳态假设--从而提高运行自动混沌实验的效率
用于混沌状态的 GitOps
- 与基于 Git 的 SCM 集成，为混沌工件（工作流）提供一个单一的真实来源，这样的变化在 Git 源和混沌中心之间是双向同步的，从而拉出最新的工件来执行。
  - 提供一个事件追踪的微服务，在 GitOps 工具（如 ArgoCD、Flux）升级时自动启动 "订阅的 "混沌工作流。
非 Kubernetes 混沌
- 增加了在基础设施（云）资源上注入混沌的实验，如 VMs/instances 和磁盘（AWS、GCP、Azure、VMWare）--无论它们是否承载 Kubernetes 集群。

详情见

Grafana 8.1.2 发布

Grafana 8.1.2 现已发布。Grafana 是一个功能丰富的指标标准仪表板和图形编辑器，用于分析和监控 Graphite、Elasticsearch、OpenTSDB、Prometheus 和 InfluxDB。

功能和增强：

AzureMonitor：添加对 PostgreSQL 和 MySQL 灵活服务器的支持。
Datasource：将 datasource health check 失败的 HTTP 状态代码更改为 400。
Explore：将 span duration 添加到 trace viewer 的左侧面板。
Plugins：在提供插件资产时使用文件扩展名 allowlist，而不是检查 UNIX 可执行文件。
Profiling：支持将 pprof 服务器绑定到自定义网络接口。
Search：使搜索图标键盘可导航。
Template variables：键盘导航改进。
Tooltip：在分钟时间范围内显示毫秒 (ms)。

详情见

OpenSSH 8.7 发布，实验性 SFTP 支持 SCP

OpenSSH 8.7 发布了，作为这个广泛使用的 SSH 服务器/客户端软件的最新功能版本。

在 OpenSSH 8.7 中，突出的变化主要围绕 SCP 工作和为未来的变化做准备。OpenSSH 8.7 的亮点包括：

准备在下一个 OpenSSH 版本中默认停用 ssh-rsa 签名方案。我们鼓励用户现在就转移到更好、更安全的替代方案。
用于远程到远程拷贝的 SCP 现在默认通过本地主机传输，以避免在源跳上暴露凭证和其他改进。
SCP 增加了对使用 SFTP 协议传输的实验性支持，作为 SCP/RCP 协议的最终替代。SFTP 的使用导致了更可预测的文件名处理和其他改进。scp -s 标志将启用 SFTP 的使用，并计划在不久的将来成为默认使用。
SSH 和 SSHD 现在采用了一个更严格的配置文件解析器。
许多错误修复和其他小的改进。

更多关于 OpenSSH 8.7 所有变化的细节和源代码下载请访问 OpenSSH.com。

开源项目推荐

Kubescape

还记得前段时间美国国家安全局 (NSA) 发布了《Kubernetes 安全加固指南》吗？现在连检查 K8s 集群安全配置是否符合 NSA 安全指南的项目都出来了。

Havener

Havener 是一个用于与 Kubernetes 交互的高级 CLI 工具，它的目的是提供更丰富的表现形式，并避免使用 kubectl 时使用参数很长的场景。下面是它的几个常用参数：

havener events - 展示 Kubernetes 集群的 Events 信息
havener logs - 检索所有 Pod 的日志文件
havener node-exec - 在 Kubernetes 节点上执行命令
havener pod-exec - 在 Pod 中执行命令
havener top - 显示 CPU 和内存信息
havener watch - 观察所有命名空间中的所有 Pod 的状态

Kubestriker

Kubestriker 是一个平台无关的工具，旨在解决 Kubernetes 集群由于配置错误而产生的安全问题，并将有助于加强任何组织的整体 IT 基础设施。它可以对不同服务和多个平台上的开放端口进行大量详细检查，包括自我托管的 Kubernetes 集群、Amazon EKS、Azure AKS 和 Google GKE。

此外，它还可以分析 Kubernetes 基础设施相关组件，并提供可视化的攻击路径，展示黑客可能的攻击路线。

Metacontroller

Metacontroller 是一个 Kubernetes 插件，它可以通过简单的脚本来编写和部署自定义控制器。

文章推荐

服务网格的困境与破局

这篇文章值得一读，文中花了大量的篇幅来探讨容器网络的细节，简而言之，容器使用 TCP 来进行通信时会有大量的开销，而 kube-proxy 又额外增加了更多的开销。如果能直接使用 UDS(UNIX Domain Sockets) 来通信，就可以免去很多不必要的开销，容器通信不需要 TCP，也不需要 IP，成千上万的容器都有自己的 UDS，例如 /path/mysocket.sock，每个 UDS 都有唯一的 Inode，而不用担心 IP 地址或端口冲突。

如何构建比 nginx:alpine 体积还小的镜像

本文介绍了如何构建体积最小的 Nginx 镜像，甚至比 nginx:alpine 体积还小。

如何加固 Kubernetes 控制平面组件

控制平面作为 Kubernetes 集群的神经中枢，管理着集群的状态和配置数据，极易被攻击者滥用，因此需要对其进行加固。

本文由博客一文多发平台 OpenWrite 发布！