作者 | 丁海洋? 陳有坤 李鵬? 孫健波

業(yè)界要聞

阿里巴巴 Kubernetes 技術(shù)能力再獲 CNCF 認(rèn)可

CNCF 官網(wǎng)發(fā)布博文《Demystifying Kubernetes as a Service – How Alibaba Cloud Manages 10,000s of Kubernetes Clusters》。這篇長文從為什么需要超大數(shù)量的 K8s 集群，以及如何高效的管理這些集群出發(fā)，系統(tǒng)介紹了 Alibaba 在 Kubernetes 上取得的成績。

GitHub 欲在中國設(shè)立子公司

今年早些時候傳出多起 Github 封鎖伊朗、敘利亞、克里米亞等地區(qū)的 Github 賬號，加上目前中美貿(mào)易戰(zhàn)的大背景，Github 背后的微軟需要為很多可能性進(jìn)行準(zhǔn)備。一個問題是：中國子公司真的可以在貿(mào)易戰(zhàn)白熱化的時候幫助微軟和中國開發(fā)者嗎？無論如何，多年來開源運動對當(dāng)前 IT 技術(shù)的貢獻(xiàn)大家有目共睹，而 Github（依然）是聚集開發(fā)者最好的平臺，我想每一個負(fù)責(zé)任的開發(fā)者，無論國籍，都應(yīng)該好好思考未來可能會如何，做好應(yīng)對。

上游重要進(jìn)展

Kubernetes

• Support external signing of service account keys

目前 K8s apiserver 還是從硬盤讀取 service account 的 keys，并在運行時保存在內(nèi)存中。鑒于現(xiàn)在 apiserver 已經(jīng)支持驗證和發(fā)布 projected volume tokens，我們可以考慮開始通過 API 支持外部簽發(fā)和校驗 token。

• Certificated API 改進(jìn)

CSR（CertificateSigningRequest）支持多 signer。

Knative

Knative v0.11.0 版本已于 12 月 10 號正式發(fā)布，下面兩篇文章將對新版本進(jìn)行解讀，讓你快速對 v0.11.0 版本有所了解：

• Knative Serving 0.11.0 版本變更
• 解讀 Knative Eventing v0.11.0 新特性

Istio

Istio1.5 開發(fā)中，計劃一月中 code freeze , 二月中發(fā)布。

• 備受矚目的 Mixer v2 正在緊鑼密鼓地開發(fā)中：其中使用 V8 的 Telemetry v2 預(yù)計將在 1.5 版本中達(dá)到 alpha 狀態(tài)；
• 引入更好的傳輸安全：Istio 使用 mTLS 在網(wǎng)格內(nèi)的工作負(fù)載之間提供傳輸安全性。但是目前 Istio 的某些架構(gòu)選擇導(dǎo)致了相當(dāng)大的實現(xiàn)復(fù)雜性、設(shè)計混亂和協(xié)議沖突。這個 Proposal 指出了一些現(xiàn)有的難題，并探討可能的解決方案。

其他內(nèi)容更新：

• 社區(qū)新提出的 Istio meta API ，用于支持 Envoy 協(xié)議路由：提供 Envoy 的 Extensions，其中 protocol filter 的作者僅解析 metadata（headers），并作為 attributes 公開給框架；而框架可以完全基于屬性來路由流量，無需了解協(xié)議。這個提案目前處于非常早期的討論中；

• Istio Config API Versioning Design：從 1.11 開始，Kubernetes 支持在 CustomResourceDefinition（CRD）中指定多個版本。 在 1.15 中，對 Conversion?Webhook 的支持處于 beta 狀態(tài)，預(yù)計將在 1.16 中穩(wěn)定。 Istio API 當(dāng)前只具備單個版本，隨著 Istio 的 API 變得越來越成熟，需要為每個 Istio API 支持多個版本。這將使 Istio 在改進(jìn) API 的同時仍能支持可能正在使用舊版 API 的用戶。

開源項目推薦

ansible/awx

這是 Red Hat 發(fā)布的對其內(nèi)部的 Ansible Tower 系統(tǒng)的開源實現(xiàn)，有興趣的同學(xué)可以去看一下。

oam/admission-controller

一個 Go 語言開發(fā)的 K8s Admission Controller 為 OAM 標(biāo)準(zhǔn) spec 提供轉(zhuǎn)換和校驗的功能，該開源項目不僅可以用于 OAM 的 spec 校驗，也可以用來學(xué)習(xí)如何編寫一個 K8s Admission Controller。

本周閱讀推薦

《Run Ansible Tower or AWX in Kubernetes or OpenShift with the Tower Operator》

Ansible Tower是Red Hat內(nèi)部的自動化Ansible平臺的核心組件，AWX是Ansible Tower的開源實現(xiàn)，兩者的關(guān)系類似Fedora和RHEL。這篇文章使用一個Operator來創(chuàng)建和管理試用版的Ansible Tower。

《Develop a Kubernetes controller in Java》

一篇來自 K8s 官方的 Blog，介紹了如何使用 Kubernetes Java SDK 來開發(fā) Kubernetes Controller。

《Chaos Engineering: the history, principles and practice》

混沌工程是在大規(guī)模復(fù)雜系統(tǒng)中尋找問題的最佳實踐，這篇文章系統(tǒng)介紹了混沌工程的歷史、原則以及實踐中需要注意的問題。
https://www.gremlin.com/chaos-engineering/

《What I learned from Reverse Engineering Windows Containers》

在 Docker 開啟容器技術(shù)大潮的時候，Windows 是有一點落后的，但不出意外的，微軟很快發(fā)布了支持 Windows 的容器技術(shù)。除了一些官方的文檔，關(guān)于 Windows container 的技術(shù)細(xì)節(jié)是很少的，本文作者通過 reverse engineering 解析了 Windows 容器在進(jìn)程、文件調(diào)用、系統(tǒng)調(diào)用等方面的一些細(xì)節(jié)，對這方面感興趣的同事不要錯過。

《Highlights from KubeCon US and Re:Invent 2019 + Live WKP Demo》

Weaveworks 自己總結(jié)了一篇 KubeCon US 和 ReInvent: 2019 的一些 highlight，當(dāng)然也不忘 promote 自己一下，有興趣的同學(xué)可以看看。

《虛擬化 Pod 性能比裸機(jī)還要好，原因竟然是這樣！》

VMware 在 VMworld 上宣布的太平洋項目 (Project Pacific)。根據(jù)其官博上發(fā)布的信息，太平洋項目中通過虛擬化實現(xiàn)的 Native Pods，比物理機(jī)（裸機(jī)）上 Kubernetes 的 pod 有 8％ 的性能提升！這個內(nèi)容是十分搶眼的，因為不是很符合邏輯。這篇文章解釋了這個性能提升的原因，簡單的說，就是用好 NUMA。

《Knative Serverless 之道：如何 0 運維、低成本實現(xiàn)應(yīng)用托管？》

Knative 作為最流行的應(yīng)用 Severlesss 編排引擎，其中一個核心能力就是其簡潔、高效的應(yīng)用托管服務(wù)。阿里云的工程師在該分享中對此進(jìn)行了詳細(xì)的講解。

“阿里巴巴云原生關(guān)注微服務(wù)、Serverless、容器、Service Mesh 等技術(shù)領(lǐng)域、聚焦云原生流行技術(shù)趨勢、云原生大規(guī)模的落地實踐，做最懂云原生開發(fā)者的技術(shù)圈。”

總結(jié)

以上是生活随笔為你收集整理的阿里巴巴 Kubernetes 能力再获 CNCF 认可 | 云原生生态周报 Vol. 32的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。