周一见 | Pokémon Go 用 K8s 进行有效扩展、网上可查到四万多个 K8s 容器、微软联手甲骨文整合云服务
新闻
作者:小君君
译者:小君君
2019-06-10 15:52

Kubernetes 资讯 

1. Pokémon Go 如何利用 K8s 进行有效扩展  

Pokémon Go 从 2016 年发布以来,下载量超过 500 万,每日活跃用户超过 2 亿。在游戏发布初期,该游戏的用户群体呈指数的增长,远远超过预期。当服务器无法处理如此巨大的流量时,Pokémon Go 的工程师是如何解决的呢?

该游戏的应用程序逻辑运行在由 Kubernetes 支持的 GKE(Google Container Engine)上。通过一种以 planetary-scale 的方式协调其集群,为百万游戏玩家服务。这让开发者有更多的时间专注于构建游戏的应用程序逻辑和新功能。

此案例详情,见:https://cloud.google.com/blog/products/gcp/bringing-pokemon-go-to-life-on-google-cloud 

2. 微软联手甲骨文整合云服务

2019 年 6 月 5 日,微软和甲骨文公司宣布,双方已达成一项协议,在他们两家的数据中心之间通过建立高速连接的方式,让双方的云计算服务协同工作,客户能够跨 Microsoft Azure 和 Oracle Cloud 迁移和运行任务关键型企业工作负载,通过网络和身份互操作性连接 Azure 和 Oracle Cloud。这种关系在竞争激烈的云计算市场并不常见,尤其是涉及身份的互操作性。

目前,这种云计算业务数据中心之间的高速连接将首先从美国东部开始,下一步可能会扩展到其它地区。微软和甲骨文发布的联合声明显示,企业用户将可以无缝地使用微软 Azure 的分析和人工智能等服务,以及甲骨文自主数据库等云服务。

3. 在互联网上可查到 40,000 多个 K8s 和 Docker 容器  

近日,安全公司 Unit42 发出警告:在互联网上可以发现超过 40,000 个 Kubernetes 和 Docker 容器。同时,在这些容器中,许多配置错误的数据库暴露了不应公开访问的数据库个人信息。

Unit42 表示:在研究中,我们能够使用简单的搜索术语在全球范围内轻松找到 20,353 个 Kubernetes 容器。这些实例位于美国、爱尔兰、德国、新加坡和澳大利亚,其中绝大多数都在 Amazon 上托管。

我们还能够使用简单的搜索条件在全球范围内轻松找到 23,354 个 Docker 容器。这些实例位于中国、美国、德国、香港和法国。就 Docker 而言,Amazon 又是顶级主机,这些实例主机分布范围更广。

对此 Unit42 总结道:默认配置对组织来说可能是一个重大的安全风险......错误的配置,例如使用默认容器名称和保留暴露给公众的默认服务端口会使组织受到针对性的侦察。使用适当的网络策略或防火墙可以防止内部资源暴露给公共互联网。

4. 中等漏洞:CVE-2019-11245

近日,Kubernetes CVE-2019-11245 漏洞被曝出(评分 4.9 ,中等)。该漏洞影响范围包括:kubelet v1.13.6、v1.14.2 以及不指定显式 runAsUser: <uid>mustRunAsNonRoot:true 的 Pod。如果运行的 Pod 没有在 spec 中指定用户控制权限,那么该 Pod 中的容器通常作为容器镜像清单中指定的 USER 运行,有时可以作为 root 用户运行(在容器重新启动时,或者如果镜像先前被拉到节点时):

  • 指定显式 runAsUser 的 Pod 不受影响并继续正常工作;
  • 强制 runAsUser 设置的 podSecurityPolicies 不受影响并继续正常工作;
  • 指定 mustRunAsNonRoot:true 的 Pod 将拒绝以 uid 0 启动容器,这可能会影响可用性;
  • 在重新启动时,未指定 runAsUsermustRunAsNonRoot:true 将作为 uid 0 运行的 Pod 或者先前已将镜像拉到节点的 Pod。

除升级以外的解决方式:

  • runAsUser 在 Pod 中指定指令以控制容器运行的 uid;
  • mustRunAsNonRoot:true 在 Pod 中指定指令以防止以 root 身份启动;
  • 按照 Kubernetes 分发的指示将 kubelet 降级到 v1.14.1 或 v1.13.5。

详情,见:https://github.com/kubernetes/kubernetes/issues/78308 

5. 2019 最新 K8s 用户调研报告  

据 KubeCon&CloudNativeCon Europe 2019 的一份 500 人的调研报告中显示,其中有 47% 的受访者正在生产环境中运行 Kubernetes 实例,另有 29% 的人正在建设生产环境。

该调查还发布了由 Platform9 公司(管理托管服务提供商)进行的调查,其中 59% 受访者选择在内部 IT 环境中部署 Kubernetes 实例。就公有云而言,最受推崇的平台是 AWS,占 51%,其次是 GCP 占 29%,Azure 占 25%。该调查还发现,作为 Kubernetes 环境附件最广泛采用的工具是开源的 Prometheus 容器监控软件。

Platform9 产品营销负责人 Kamesh Pemmaraju 表示,现在越来越多的 Kubernetes 实体出现在生产环境中,越来越多的组织正在关注如何管理 Kubernetes 等具有挑战性的问题。调查发现,组织在部署 Kubernetes 时遇到的最大挑战是运营复杂性(50%)、迁移遗留应用程序(40%)、IT 人才访问(38%)以及数据管理(33%)。

 6. CKA 认证有效期将改为 3 年  

近日,CNCF 发布公告:考虑到 Kubernetes 目前的开发和发布周期,CNCF 计划在 2020 年进行大幅度的课程更新。当修改考试时,CNCF 会再次公布。

同时,2017 年 9 月 2 日或之后颁发的 CKA 认证将在申请人满足项目认证要求之日起 36 个月后失效 (而不是之前所说的 24 个月)。该通知不会影响 2018 年 5 月推出的 CKAD 认证。

6 月 28 - 30 日,K8sMeetup 中国社区 CKA 上海站即将开始,现在报名有机会立减 3288 元!

详情见:三天攻坚 CKA | 6.28 上海不见不散!

博文推荐 

1.《介绍一个小工具:Ksniff》

在 Kubernetes 环境中,针对 Pod 进行抓包是个常规操作,Ksniff 工具用一个简单的 kubectl 插件命令将这些常规步骤组织起来。Ksniff 有几个很有意思的特色:

  • 可以使用 krew 方便地进行安装;
  • 能够自动把 Pod 的 TCP Dump 数据输出给 Wireshark;
  • 能够方便地处理非特权 Pod 的抓包工作;
  • 无需触碰 Node。

详情,见:https://mp.weixin.qq.com/s/cQPN0Ew5GW_yp6wuEcOWbA 

2.《How to set up a serious Kubernetes terminal》 

Kubernetes 预先打包了一个出色的 CLI,对于基本操作,它的工作非常好,但是当一个人需要快速做某事时,复杂性就会增加。在文中,软件工程师 Chris Cooney 列举了 6 个开源工具,当它们一起使用时,它们允许作者跳过 Kubernetes 集群,快速解决问题并监控行为。

详情,见:https://medium.com/free-code-camp/how-to-set-up-a-serious-kubernetes-terminal-dd07cab51cd4

AI 资讯 

1. MIT、浙大推出 AutoML 工具  

日前,在 ACM CHI 计算系统人为因素会议上,麻省理工学院、香港科技大学(HKUST)和浙江大学的研究人员推出了一种 AutoML 工具:ATMSeer。它可以将 AutoML 系统、数据集和相关用户任务的一些信息作为输入,通过数据可视化显示系统的搜索过程。

在工程化过程中,为特定任务设计机器学习模型(如图像分类、疾病诊断和股市预测)一直是项艰巨而耗时的任务。为了训练一个模型,人们首先需要选择合适的算法构建模型,然后通过手动调整 “超参数”,来确定模型的整体结构。

发展至今,尽管上述复杂的前期工作可以通过 AutoML 系统实现一定程度的自动化,但这种系统对人类还是个 “黑盒”,也就是人们并不知道系统选择算法、调参的依据,容易因未知产生怀疑和不信任。

ATMSeer 的出现也许可以解决这个问题。它的核心是定制的 AutoML 系统——“自动调整模型”(ATM),可以在模型拟合数据时对所有搜索结果进行完整编目。具体而言,ATM 将数据集和编码的预测任务作为输入。刚开始的时候,它会随机选择算法及模型的超参数,然后针对数据集运行模型,迭代地调参,并测试性能。最后,系统为任务输出几个表现最佳的模型。

它的诀窍在于每个模型基本都可以被视为具有一些变量的一个数据点:算法、超参数和性能。在这项工作的基础上,研究人员设计了一个可视化系统,可以在指定的图形和图表上绘制这些数据点和变量。

论文地址:https://arxiv.org/pdf/1902.05009.pdf

其他 

1. 谷歌收购 Looker  

2019 年 6 月 7 日,据国外媒体报道,美国网页搜索巨头谷歌表示,将以 26 亿美元现金收购非上市的大数据分析公司 Looker,这是谷歌云计算业务新任首席执行官 Thomas Kurian 自上任以来实施的首次重大收购。Thomas Kurian 表示:“当我们考虑如何扩大我们的投资组合时,数据和分析是我们有实力的一部分。此次收购 Looker 公司目的是补充和完善我们的数据分析基础。” 

2. 5G 商用牌照正式发放  

近日,工业和信息化部发布消息表示依中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国广播电视网络有限公司申请,工业和信息化部经履行法定程序,于 2019 年 6 月 6 日向四家企业颁发了基础电信业务经营许可证,批准四家企业经营 “第五代数字蜂窝移动通信业务”。

工信部 5G 商用牌照的发放,标志着中国电信产业正式进入 5G 时代。结合推文一起看看 5G 与 K8s 的联系与发展。

856 comCount 0