Istio v1.7 正式发布

近日,Istio v1.7 正式发布。Istio 是一个由谷歌、IBM 与 Lyft 共同开发的开源服务网格平台,旨在提供一种统一化的微服务连接、安全保障、管理与监控方式,确保微服务在处理故障时以指定的方式相互连接。 此发行版按照 Istio 社区制定的路线图中方向继续前进,提高了其易用性、安全性、可靠性,尤其在 VM 的使用上进行了改进。

安全性提高

  • Istio v1.7 中新增了对用于客户端证书和 CA 证书的 SDS 支持,该证书用于使用 DestinationRule 从 Egress Gateway 发起的 TLS/mTLS。
  • 现在改进了信任域验证以验证 TCP 流量,以前仅验证 HTTP 流量。
  • ECC 加密有助于在提高安全性的同时提高效率,该版本增加了使用 ECC 与证书颁发机构通信的功能。
  • 最佳安全实践有一项是不要以超过其所需权限的权限运行进行进行,因此在 Istio v1.7 下,网关在默认情况下被设置为以非 root 用户身份运行

易用性增强

Istio 这样的系统,其易用性很大一部分体现在“第二天”的使用中,尤其是在发现潜在问题方面。Istio 团队增加了非常有用的istioctl 分析工具功能

  • 警告可能不安全的 DestinationRule 配置。
  • 警告已弃用的 Mixer 资源使用情况。

对于 istioctl 的常用用户,自定义配置可能非常有用,所以该版本增加了将个人默认配置嵌入主目录的功能。易于阅读的文本比数字更容易让人使用,所以 Istio 团队为端口号添加了 DNS。现在我们可以使用诸如 http 的助记词(而不是 80)来指定端口类型。

可操作性改善

鉴于 Istio 在生产系统中的广泛使用,Istio 团队对其“第二天”的可用性进行了一些改进:

  • 我们可以将应用程序启动延迟到 Sidecar 启动之后,这提高了部署的可靠性。
  • 解决了陈旧端点可能导致 istio-pilot 卡住的问题。
  • 在 Istio-agent 中公开了指标,我们可以观察其运行情况。
  • 对 Prometheus 指标管道进行了多项改进,以一种更轻松、更有效的方式获取更多数据。

VM 支持改进

自 Istio 成立以来,Istio 团队一直致力于将 VM 上的工作负载合并到服务网格中。在 Istio v1.7 中,团队添加了一些改进。Istio 最常用的功能之一是安全功能集,其核心是以短期证书的形式为每个工作负载分配强身份。VM 身份现在从一个短暂的 Kubernetes 服务帐户令牌中启动。VM 的工作负载证书会自动轮换。团队还扩展了 istioctl,以便能够验证基于 VM 的工作负载的代理状态,以前该验证仅适用于基于 Kubernetes 的工作负载。另外,团队向版本中添加了用于在 VM 上运行 Istio sidecar 的 RPM 软件包。

更多 Istio v1.7 信息:https://istio.io/latest/news/releases/1.7.x/announcing-1.7/

云原生开发状态报告

据CNCF《云原生开发状态报告》显示,在过去的半年里,云原生技术(尤其是容器和容器编排工具)的采用率得到了极大的提高。这份报告基于 SlashData 对开发人员半年一次的调查,和 17000 多位软件开发人员对有关后端服务开发和相关技术的回答。

据报告显示,全球目前共有650 万名云原生开发人员,比 2019 年第二季度增加了 180 万名。其中,有 270 万名使用 Kubernetes,400 万名使用无服务器架构和 Cloud Functions。

另外,全世界60% 的后端开发人员正在使用容器。与 2019 年第二季度相比,容器的使用平均率增加了 10%,容器编排工具的平均率增加了 7%,而 Cloud Functions 和无服务器的使用率相对稳定。

尽管容器在后端开发人员中很流行,但是不是所有人都听说过或使用 Kubernetes 来作为管理工具。在过去的 12 个月中,有 59% 的后端开发人员使用了容器,但只有 27% 的开发人员使用 Kubernetes 管理容器。

报告地址:https://www.cncf.io/wp-content/uploads/2020/08/CNCF-The-State-of-Cloud-Native-Development_FINAL_Q419.pdf

32020 容器安全快照

随着容器和 Kubernetes 的采用率不断增加,云团队愈发意识到他们需要采用一种将安全性嵌入其 DevOps 流程的新工作流程。

DevSecOps 指在从开发到生产的整个应用程序生命周期中嵌入安全性和监控功能,这使我们可以交付安全、稳定和高性能的应用程序。

最受欢迎的镜像

现代软件大多是组装而成,而不是从头开始构建,开发人员通常在构建容器化应用程序时,使用来自各种 Linux 发行版的开源基础镜像。据 Sysdig 调查,Alpine 是当今开发人员最喜欢使用的镜像。Alpine 镜像占用空间极小,但有趣的是,目前正在运行的最大镜像也是基于 Alpine 镜像,但它的大小足足有 10GB。