Posts in 2022
Kubernetes 1.26: 我们现在正在对二进制发布工件进行签名!
2022.12.12 in 博客
作者: Sascha Grunert 译者: XiaoYang Zhang (HUAWEI) Kubernetes 特别兴趣小组 SIG Release 自豪地宣布,我们正在对所有发布工件进行数字签名,并且 Kubernetes 在这一方面现已达到 Beta。 签名工件为终端用户提供了验证下载资源完整性的机会。 它可以直接在客户端减轻中间人攻击,从而确保远程服务工件的可信度。 过去工作的总体目标是定义用于对所有 Kubernetes 相关工件进行签名的工具, 以及为相关项目( …
Kubernetes 的取证容器检查点
2022.12.05 in 博客
作者: Adrian Reber (Red Hat) 取证容器检查点(Forensic container checkpointing)基于 CRIU(Checkpoint/Restore In Userspace ,用户空间的检查点/恢复), 并允许创建正在运行的容器的有状态副本,而容器不知道它正在被检查。容器的副本,可以在沙箱环境中被多次分析和恢复,而原始容器并不知道。 取证容器检查点是作为一个 alpha 特性在 Kubernetes v1.25 中引入的。 工作原理 在 CRIU 的帮助 …
Kubernetes 1.26 中的移除、弃用和主要变更
2022.11.18 in 博客
作者 :Frederico Muñoz (SAS) 变化是 Kubernetes 生命周期不可分割的一部分:随着 Kubernetes 成长和日趋成熟, 为了此项目的健康发展,某些功能特性可能会被弃用、移除或替换为优化过的功能特性。 Kubernetes v1.26 也做了若干规划:根据 v1.26 发布流程中期获得的信息, 本文将列举并描述其中一些变更,这些变更目前仍在进行中,可能会引入更多变更。 Kubernetes API 移除和弃用流程 Kubernetes 项目对功能特性有一个文档完 …
“Kubernetes 1.25:对使用用户名字空间运行 Pod 提供 Alpha 支持”
2022.10.03 in 博客
作者: Rodrigo Campos(Microsoft)、Giuseppe Scrivano(Red Hat) Kubernetes v1.25 引入了对用户名字空间的支持。 这是在 Kubernetes 中运行安全工作负载的一项重大改进。 每个 Pod 只能访问系统上可用 UID 和 GID 的有限子集, 因此添加了一个新的安全层来保护 Pod 免受运行在同一系统上的其他 Pod 的影响。 它是如何工作的? 在 Linux 上运行的进程最多可以使用 4294967296 个不同的 UID …
Kubernetes 1.25:应用滚动上线所用的两个特性进入稳定阶段
2022.09.15 in 博客
作者: Ravi Gudimetla (Apple)、Filip Křepinský (Red Hat)、Maciej Szulik (Red Hat) 这篇博客描述了两个特性,即用于 StatefulSet 的 minReadySeconds 以及用于 DaemonSet 的 maxSurge, SIG Apps 很高兴宣布这两个特性在 Kubernetes 1.25 进入稳定阶段。 当 .spec.updateStrategy 字段设置为 RollingUpdate 时, …
Kubernetes 1.25:Pod 新增 PodHasNetwork 状况
2022.09.14 in 博客
作者: Deep Debroy (Apple) Kubernetes 1.25 引入了对 kubelet 所管理的新的 Pod 状况 PodHasNetwork 的 Alpha 支持, 该状况位于 Pod 的 status 字段中 。对于工作节点,kubelet 将使用 PodHasNetwork 状况从容器运行时 (通常与 CNI 插件协作)创建 Pod 沙箱和网络配置的角度准确地了解 Pod 的初始化状态。 在 PodHasNetwork 状况的 status …
宣布自动刷新官方 Kubernetes CVE 订阅源
2022.09.12 in 博客
作者:Pushkar Joglekar (VMware) Kubernetes 社区有一个长时间未解决的需求,即为最终用户提供一种编程方式来跟踪 Kubernetes 安全问题(也称为 “CVE”,这来自于跟踪不同产品和供应商的公共安全问题的数据库)。 随着 Kubernetes v1.25 的发布,我们很高兴地宣布以 alpha 特性的形式推出这样的订阅源。 在这篇博客中将介绍这项新服务的背景和范围。 动机 随着关注 Kubernetes 的人越来越多,与 Kubernetes …
Kubernetes 的 iptables 链不是 API
2022.09.07 in 博客
作者: Dan Winship (Red Hat) 译者: Xin Li (DaoCloud) 一些 Kubernetes 组件(例如 kubelet 和 kube-proxy)在执行操作时,会创建特定的 iptables 链和规则。 这些链从未被计划使其成为任何 Kubernetes API/ABI 保证的一部分, 但一些外部组件仍然使用其中的一些链(特别是使用 KUBE-MARK-MASQ 将数据包标记为需要伪装)。 作为 v1.25 版本的一部分,SIG Network 明确声明: …
COSI 简介:使用 Kubernetes API 管理对象存储
2022.09.02 in 博客
作者: Sidhartha Mani (Minio, Inc) 本文介绍了容器对象存储接口 (COSI),它是在 Kubernetes 中制备和使用对象存储的一个标准。 它是 Kubernetes v1.25 中的一个 Alpha 功能。 文件和块存储通过 Container Storage Interface (CSI) 被视为 Kubernetes 生态系统中的一等公民。 使用 CSI 卷的工作负载可以享受跨供应商和跨 Kubernetes 集群的可移植性优势, 而无需更改应用程序清单。对 …