周一见|Tinder 成功迁移 200 个服务、Eclipse 提出新 K8S 开发工具、微软百名员工签名力挺 996.ICU
新闻
作者:小君君
译者:小君君、bot
2019-04-30 10:30

Kubernetes 资讯

 1. Tinder 迁移 200 个服务并运行 K8S 集群   

两年前,Tinder(一款国外手机交友 APP)为解决应用程序的扩展性、稳定性等问题,决定将其平台迁移到 Kubernetes 上。如今,Tinder 平台完全在 Kubernetes 集群上运行,该集群包括 200 个服务、1,000 个节点、15,000 个 Pod 和 48,000 个运行容器。Tinder 技术团队迁移工作流程如下:

  • 2018 年 1 月开始,将所有服务集中起来,并将它们部署到一系列 Kubernetes 托管的临时环境中;
  • 2018 年 10 月,开始将所有遗留服务转移到 Kubernetes 中;
  • 2019 年 3 月,完成 Tinder 全面迁移。

Tinder 表示:容器现在可以在几秒内安排并提供流量,而不是几分钟。在单个 EC2 实例上调度多个容器还可以提高水平密度。因此,与去年相比,Tinder 预计今年 EC2 将大幅节省成本。 

 在公众号后台回复“Tinder”,即可获取该案例文档。通过案例你将了解:

  • 如何为 Kubernetes 建立镜像;
  • Kubernetes 集群架构和迁移;
  • 突发状况:网络结构限制;
  • 使用 Envoy 实现更好的负载均衡;
  • .......

 2. 协调 K8S 与 PCI DSS 的支付系统 

近日,Paybase(一个端到端的支付服务提供商)系统工程师 Ana Calin 发表了一份经验报告,该报告介绍了他们是如何在 GKE( Google Kubernetes Engine)上,通过运行 50 多个 Node.js 微服务来实现 PCI DSS 1 级合规性。Calin 表示:除了精确定位和解决 Kubernetes 的一些安全缺陷外,另一个关键因素是他们挑战了 PCI DSS 要求的 “现状”。  

PCI DSS  是一种可追溯到 2004 年的信息安全标准(处理信用卡付款的组织必须遵守),但至今 PCI DSS 要求尚未明确考虑到 Kubernetes、容器编排的影响,其关于容器、Pod 及其瞬态特性(transient nature)的解释也十分模糊。 

Calin 指出有许多大型金融机构更愿意支付 PCI DSS 的经常性罚款,而不是改进应用程序以符合 PCI DSS 要求。Calin 声称,总体而言,2017 年,超过 80% 的组织仍未能遵守 PCI DSS。 

对此,Calin 提到了 PCI DSS 要求(#2.2.1)的示例,来帮助每个服务器或虚拟机仅执行一个主要功能。同时,Calin 的团队为安全的 GKE Kubernetes 集群定义了一套指南,例如每个集群都有一个专用的服务帐户(只提供严格要求的权限和最小的计算引擎范围)。根据 Calin 的说法,设置 Kubernetes  网络策略和 Pod 安全策略以及启用 RBAC 十分关键。 

 在公众号后台回复“支付系统”即可获该案例详细 PPT。 

3. Docker Hub 19 万用户敏感数据泄露 

 美国时间 4 月 26 日晚,有开发者表示收到来自 Docker 的官方邮件,邮件概要如下:

由于 Docker Hub 遭受非法入侵,已导致 19 万个帐号的敏感数据被泄露。这些数据包括小部分用户的用户名和哈希密码,以及用于自动构建 Docker 镜像而授权给 Docker Hub 的 GitHub 和 Bitbucket token。

对于此事件 Docker 表示:在黑客入侵 Docker Hub 后的短时间内,我们就发现了问题并立即采取了干预措施来保护数据,但仍有 19 万个帐号数据被泄露,大约是总用户数的 5%。 

此外,对于使用了自动构建服务并可能受影响的用户,Docker 已撤销了他们的 GitHub token 和访问密钥。此类用户需要重新连接到存储库,并需要立即检查安全和登录日志是否发生了异常操作。

4. Eclipse 提出新 K8S 开发工具  

近日,Eclipse 基金会提出了一个名为 Eclipse Tempest 的开源项目。他们希望用户可以通过使用 Tempest 获取用于构建 Kubernetes 应用程序的工具,而无需考虑集成开发环境(IDE)或编程语言。

该项目最开始的代码贡献会包括:Eclipse Java IDE、the Eclipse Che cloud IDE 和 Microsoft's Visual Studio Code 编辑器的插件。Tempest 工具包包括以下功能:

  • 从模板或样本快速开发应用程序;
  • 支持在桌面和 Kubernetes 上直接启动、更新、测试和调试 Docker 容器;
  • 帮助将现有应用程序移动到 Docker 和 Kubernetes 中;
  • 验证以确保应用程序遵循最佳实践;
  • 用于跨 IDE 一致测试和部署应用程序的通用库。

在解释设计 Tempest 的原因时,Eclipse 指出传统的应用程序是在桌面上开发,在本地调试,然后通过自动 DevOps 管道构建和部署的。Docker 的到来允许运行时在环境之间打包和移动,而 Kubernetes 正在成为大规模 Docker 部署的部署系统,但一些部署通常还是在本地环境中完成,而不是利用这些新技术。   

Tempest 的技术预览和测试版计划于 2019 年的第三个季度推出。第一个版本计划在 2019 年第四季度推出。 

5.VMware 更新 Enterprise PKS 平台?

近日,VMware 推出了其 Enterprise PKS 平台的更新版,其中包括 Kubernetes v1.13 的上游版本以及加速生产级部署的新功能。更新的平台包括简化的安装路径(只需下载必要的组件和管理员用户界面)。它还包括实时输入验证以及 VMware vCenter Server 和 VMware NSX-T 的数据自动填充。 

新版本还会与最新的 NSX-T v2.4 集成。这将为 Enterprise PKS 平台带来 UI 和 API,以支持更高的可伸缩性并提高可用性。同时,该平台通过与 NSX-T、VMware 的 vRealize Network Insight 集成,网络也得到了相应的提升。 

 AI 资讯 

1.李飞飞高徒分享神经网络训练方法  

上周,李飞飞高徒、特斯拉人工智能高级总监 Andrej Karpathy 针对训练神经网络相关的常见问题,撰文分享了自己比较推荐的一种模型训练流程:

  • 与数据融为一体:训练神经网络的第一步是根本不接触任何神经网络代码,而是从彻底检查数据开始;
  • 配置端到端的训练、评估框架 + 获得基线结果:选择一些简单模型,如线性分类器、ConvNet 等,设置一些明确假设,并执行一系列对照实验;
  • 过拟合 + 正则化:训练一个好模型往往有两个阶段——首先得到一个足够大的模型,它可以是过拟合的(即专注于训练损失),其次,再对它进行正则化(牺牲一些训练损失以改善验证损失);
  • 调整:“在循环中”用数据集探索低验证损失体系架构的模型空间,如随机网格搜索、超参数优化;
  • 用模型集成或延长训练时间提高模型性能。

详情请见:https://karpathy.github.io/2019/04/25/recipe/ 

其他 

1.微软百名员工签名力挺 996.ICU 

 近日,在标题为“微软和 GitHub 员工支持 996.ICU”的请愿书中,微软员工希望微软和 GitHub 这两家相信工作和生活应当平衡的公司可以保护 996.ICU repo 不受审查,并保证任何人都可以访问该网页。

 这些员工表示,自从 996.ICU 这一话题爆发以来,许多中国国内的浏览器已经开始限制用户访问 GitHub 上的 996.ICU repo,并警告用户说该 repo 包含非法或恶意内容。为此,他们必须考虑到微软和 GitHub 可能也将面临删除该 repo 的情况。

截至本文发稿,微软公司尚未对该事件作出官方回应。

请愿书详情:https://github.com/MSWorkers/support.996.ICU  

2 .3200 万美元做不了一个网站 

上周,美国汽车租赁公司 Hertz 将著名咨询管理公司埃森哲告上法庭,称自己在两年内花了 3200 万美元(约 2 亿人民币)请埃森哲做网站,但后者至今仍无法交付合格可用的网站或 APP。

  • 根据合同,埃森哲最终应交付一个响应式网站,即网站能根据电脑、手机等不同显示器的大小自动适配,但目前的网站还无法适配平板电脑;
  • 双方原本协定网站设计的基本原则是具备可扩展性,但埃森哲的成果仅适用北美 Hertz 品牌;
  • 埃森哲提供的前端代码漏洞百出,以至于上面的所有组件必须废弃重写;
  • 埃森哲的 Java 代码没有遵循 Java 标准,逻辑差且难以维护;
  • 未经测试、未提供任何可用产品、未整合 RAPID 的技术许可证等其他问题……

更让 Hertz 感到气愤的是,该项目本身已经延期,但号称会弥补延期损失的埃森哲却还狮子大开口,向 Hertz 讨要适配平板电脑等费用,金额高达数十万美元。目前,埃森哲的态度是不做进一步评论,“我们认为这起诉讼中的指控毫无根据”。 

 3.四月全球 Web 服务器市场  

上周,Netcraft 发布了今年 4 月全球 Web 服务器调查报告[1],nginx 荣登榜首,市场份额接近 30%,排名其后的分别是 Apache 和 Microsoft Server。

事实上,这是 nginx 首次登上 Web 服务器市场占有率第一的宝座,同时,这也是自 1996 年以来,除了 Microsoft Server 和 Apache,首次有另一家供应商网站的市场份额达到了第一。相比之下,Apache 和 Microsoft Server 四月的市场占有率较之前均有不同程度的下滑。报告也总结了过去一个月中各 Web 服务器发布的新版本:

  • Apache v2.4.39:修复了一个高危的提权漏洞;
  • nginx v1.15.10:新增随机负载均衡方法和动态加载 SSL 证书等;
  • OpenLiteSpeed v1.4.46:增加对使用 nodeJS、Python 和 Ruby 的 PHP7 和 app 服务器支持;
  • Tengine v2.3.0:继承了 nginx v1.15.9 的所有功能,包括几个新功能、修改和 bug 修正。

 4.新 Edge 会冒充其它浏览器  

近日,Chromium 版 Microsoft Edge 被发现会根据所访问的站点模拟其他浏览器。这可能是出于兼容性原因。随着新版 Edge 的发布,微软现在使用 Chromium Blink 引擎而不是原始的 EdgeHTML 引擎。微软还开始将原始 Edge 独有的功能添加到他们基于 Chromium 的版本中。新的 Chromium Edge 浏览器将会通过切换用户代理以伪装成其他浏览器。

--参考文献:1.https://mp.weixin.qq.com/s/i06e4Zq7IwpHnZX0taKX7w 



191 comCount 0