美国国防部参与云原生标准制定

据外媒报道,美国国防部已与 CNCF、美国国防承包商、IT 供应商达成合作,将共同为美国政府及企业用户建立 DevSecOps 安全标准和最佳实践。这项工作由美国空军首席软件官 Nicolas Chaillan 领导,目前他已经邀请了二十多家公司和开源实体参与该项目的七个子小组,包括微软、红帽、VMware、CNCF 和 Pivotal 等。对此,一位 IT 顾问表示:

随着政府机构和私营企业越来越多地使用相同的开源技术,许多商业公司将美国政府,特别是美国国防部(DoD)视为网络安全的金标准。

据了解,这项工作的重点是将安全标准应用于 DevSecOps 中的特定用例。

美国国防部的用意不仅在于为 Kubernetes 制定安全标准,他们还希望探讨如何建立一个安全的软件工厂,标准化应用程序开发、部署、迭代流程,并在整个流程中通过产生连续的权限来规范政府机构、企业对软件的更改。

参与这项工作的美国国家标准技术研究院(NIST)的 Ronald S. Ross 表示:

为了保护国家,美国国防部必须在云原生技术应用上发挥领导作用,比起单纯追求技术优势,我们更应学习如何用最佳实践领先对手。

Flink 添加对原生 K8s 的集成

日前,开源计算框架 Apache Flink v1.10.0 重磅发布。作为 Flink 社区迄今为止规模最大的一次版本升级,Flink v1.10 带来了一些激动人心的新功能,包括 PyFlink 的更新、对原生 Kubernetes 的初步集成、托管内存扩展以及 RocksDB 更新。

其中,最受云原生社区关注的的是原生 Kubernetes 集成已进入 Beta。

对于希望在容器化环境中尝试 Flink 的用户来说,如果要在 Kubernetes 上部署和管理一个 Flink standalone 集群,首先需要对容器、算子及像 kubectl 这样的环境工具有所了解。

最新版本的 Flink 目前已经推出了初步的支持会话模式的主动 Kubernetes 集成。也就是说 Flink ResourceManagerK8sResMngr可以与 Kubernetes 通信,像 Flink 在 Yarn 和 Mesos 上一样按需申请 Pod。

如果已经提前配置好 RBAC 角色,现在用户就可以利用 namespace 在多租户环境中以较少的资源开销启动 Flink。

flink.apache.org/news/2020/02/11/release-1.10.0.html

Cilium v1.7 正式发布

上周,Cilium 正式发布 1.7 版本,新增可观察性平台 Hubble 的 UI,并提供全集群网络策略。

Cilium 是由美国创企 Isovalent 贡献的一个开源云原生项目,它与 Kubernetes、containerd、CNI 和 libnetwork 集成,提供并保障应用程序容器及进程等工作负载的网络连接和负载均衡,目前已被 Adobe 和 Datadog 等公司使用。在公告中,开发团队重点介绍了新版本的以下特性:

  • Hubble:为了使集群连接更透明、更易于调试,Cilium v1.7 发布了一个新的开源的 Hubble UI,用户可对其进行调整和扩展;
  • Cilium 全集群网络策略:新版本提供集群内 CNP 功能,无论当前 Pod 位于哪个命名空间,用户都可以使用面向整个集群中全部 Pod 的基准性网络策略;
  • 通过 TLS 自省拓展 L7 策略:Cilium 现在可以通过 Kubernetes 资源或本地文件配置 Envoy TLS 证书,透明地观察 HTTP 调用并在 TLS 加密会话上执行 API 感知策略;
  • Pod L7 可见性注释:这个特性允许用户获得 L7 网络流量的可见性,然后基于观察结果制定完整的网络策略;
  • Go eBPF 库:这个简化版的库允许 Cilium 摆脱 CGo,在降低文件大小的同时提升性能。

更多内容,请见:cilium.io/blog/2020/02/18/cilium-17/

CoreOS Container Linux 再见

近日,红帽宣布 CoreOS Container Linux 将于 2020 年 5 月 26 日结束生命周期,之后将不再更新维护。建议用户尽快将工作负载迁移到另外的操作系统。CoreOS Container Linux 是 CoreOS Linux 的原始发行版(2016 年重命名为 Container Linux),适合跑轻量级任务,支持多种集群架构,并具备自动更新功能。

根据公告,以下是 Container Linux 结束生命周期的时间线:

  • 当前,CoreOS Container Linux 已经在 AWS Marketplace 下线,列表将不再对新订阅者可用;
  • 5 月 26 日,推出 CoreOS Container Linux 的最终更新,在此日期之后发现的任何错误或安全漏洞将无法修复;
  • 9 月 1 日之后,与 CoreOS Container Linux 相关的已发布资源将被删除或变为只读。操作系统下载将被删除,CoreUpdate 服务器将被关闭,操作系统镜像也将从 AWS、Azure 和 Google Compute Engine 中删除。

本周 K8s 开源项目推荐

Kube YAML

  • kubeyaml.com
  • 这个网页可以对照 swagger 定义验证你的 Kubernetes YAML 文档。

rafter

  • github.com/kyma-project/rafter
  • 这个项目是用于存储和管理不同类型文件的解决方案,它使用 MinIO 作为对象存储。

KubeRig

  • teyckmans.github.io/kuberig
  • 这是针对 Kubernetes/OpenShift 的开源部署自动化工具,它通过用 Kotlin 编写的 DSL 定义 Kubernetes 资源(而不是常规的 YAML)。

krustlet

  • github.com/deislabs/krustlet
  • Rust 中的 Kubernetes Kubelet,用于运行 WASM。

klum

  • github.com/ibuildthecloud/klum
  • 懒人必备,这个工具可以完成以下任务:创建、删除、修改用户;轻松管理与用户关联的角色;发布 kubeconfig 文件供用户使用。

node-feature-discovery

  • github.com/kubernetes-sigs/node-feature-discovery
  • 这个工具可以检测 Kubernetes 集群中每个节点上可用的功能,并使用节点标签发布这些功能。

奔向云原生的 5G 技术

自 5G 热潮爆发后,日本电信运营商 KDDI 一直渴望在 5G 上取得技术进步,而去年 KubeCon 上云原生+5G 概念的提出无疑给了它灵感

近日,爱立信、诺基亚的独立网络试验均传出喜报,宣告 KDDI 在其 5G 网络部署的计划上迈出了重要一步。

在试验中,诺基亚通过其 5G AirGile 云原生核心解决方案,将通信控制功能完全移至云环境中,并实现了数据平面和控制平面功能的分离,完成了 5G 核心独立网络试用。

同时,爱立信交付了针对 5G 核心的云原生 CI/CD 管道,利用容器技术,新应用和新功能已经可以实现自动部署。

根据 KDDI 透露的最新消息,爱立信、诺基亚和三星将成为其 5G 主要合作伙伴,如果没有意外,该公司将从 2020 年 3 月开始提供首个商用实时 5G 服务。

原文请点击:https://mp.weixin.qq.com/s/DNqUVfMRYHKEZy7FO_hNkg