CNCF 宣布 TUF 毕业

上周,CNCF 宣布 The Update Framework(TUF)毕业。它是继 Kubernetes、Prometheus、Envoy、CoreDNS、containerd、Fluentd、Jaeger 和 Vitess 之后第九个毕业的项目。

TUF 是纽约大学副教授 Justin Cappos 于 2009 年启动的一个用于保护软件更新系统的开源安全项目,旨在增强系统防御能力,抵御各类可能传播恶意软件或破坏代码库的高强度攻击。它的主要设计目标包括:

  • 建立一套可用于保护现有及新型软件更新系统的框架;
  • 降低各类高强度攻击行为的潜在影响;
  • 足够灵活以满足各种软件更新系统的需求;
  • 易于与现有的软件更新系统集成。

据了解,TUF 是 CNCF 首个源于高校的毕业项目,并且现在已经成为软件更新系统安全保护的客观性行业标准,包括 Amazon、Datadog、谷歌、IBM、Microsoft、VMWare 等巨头在内的领先云原生公司都是 TUF 的忠实用户。

更多关于 TUF 的信息,请见:https://theupdateframework.github.io/

Istio 安全公告

CVE-2019-18801:此漏洞以其处理带有大 HTTP/2 header 的下游请求的方式影响 Envoy 的 HTTP/1 编解码器。成功利用此漏洞可能导致拒绝服务、特权升级或信息泄露。

CVE-2019-18802:HTTP/1 编解码器错误地无法在 header 值之后修剪空格。这可能使攻击者可以绕开 Istio 的策略进行信息泄露或特权升级。

CVE-2019-18838:收到不带“Host”header 的格式错误的 HTTP 请求后,编码器过滤器将调用访问请求的“Host”header 的 Envoy 路由管理器 API,导致空指针被取消引用,并导致 Envoy 进程异常终止。

解决方案:

  • 对于 Istio 1.2.x 部署:更新到 Istio 1.2.10 或更高版本;
  • 对于 Istio 1.3.x 部署:更新到 Istio 1.3.6 或更高版本;
  • 对于 Istio 1.4.x 部署:更新到 Istio 1.4.2 或更高版本。

https://istio.io/news/security/istio-security-2019-007/

2020 年服务网格三大用例

2019 年是企业初步决定采用服务网格的关键一年。在过去的一年中,早期采用者最常用的三个解决方案是 mTLS、可观察性和流量管理。

随着基于 Kubernetes 的应用程序的规模和复杂性不断增加,服务网格将成为企业有效管理应用的必要手段。2020 年,企业对服务网格的需求将快速增长,Istio 将继续保持优势,而根据需求,服务网格的前三大用例可能是:

  • 可观察性。方便企业更好地了解集群状态、快速调试并更深入地了解系统,以构建更灵活、更稳定的系统;
  • 利用服务网格策略驱动应用程序产生预期行为,并证实环境的安全合规;
  • 将现有功能分配到 data plane sidecars 上,开发新的智能可编程功能。

对于企业,这不仅是核心服务网格用例出现的一年,也是服务网格解决方案参考原型产生的一年,将影响未来几年服务网格的实施。

本周 K8s 开源项目推荐

kuttle

wild-west-kubernetes

popeye

lazydocker

kubeprompt

kube-score

StackRox 2020 预测:从 K8s 到 DevOps

近日,StackRox 联合创始人兼 CEO Ali Golshan 展望了新一年的技术发展,涉及 K8s 和服务网格技术的增长。

  • K8s 生态更健全。随着越来越多公司采用 K8s 作为容器编排平台,他们将在该生态系统中采用更多解决方案。这意味着我们将在其中看到越来越复杂的工作负载。
  • K8s 成熟度。到目前为止,许多组织都在利用 K8s 构建和测试应用程序,它走向成熟的模式和虚拟化、公有云如出一辙。
  • 服务网格的兴起。今年很多企业已经对对 Istio、Envoy 和 Linkerd 等工具产生了使用需求,但和 K8s 不同,它们之间还没有产生最终的主导者。
  • 云原生功能更加强大。明年云原生社区将迎来三大挑战:CNCF 必须继续推进 K8s 本身的扩展,企业要形成 DevOps 和 CI/CD部署生态系统,继续开发第三方工具不可或缺。
  • 操作安全的重要性。安全已成为运行服务和应用程序的过程中不可或缺的一部分,决定着是否能帮助企业实现最高业务价值。
  • 安全即代码。企业必须在自动化开发中建立安全性,因为这涉及处理大量数据、大量用户、高度分布式的基础架构以及更大的规模。
  • 运维问题至上。比起 K8s CVE,“如何将 K8s 部署到成千上万的集群和节点上”的解决方案会更引人注目。

Google 辟谣退出公有云市场

上周,硅谷最负盛名的付费科技媒体《信息》(The Information)刊登文章,披露 2018 年初 Google 曾与其母公司 Alphabet 的各种高管就云部门的未来进行了长时间的讨论。其中涉及 Google 完全退出公共云市场、Google Cloud 业务关闭的想法。

根据分析机构 Synergy Research Group 的最新数据,在全球公有云市场上,目前 AWS 以 40% 的市场份额遥遥领先,其次是微软,略低于 20%,而 Google 的份额徘徊在 9% 左右,位列第三。

《信息》报道称,根据高层讨论结果,如果 Google Cloud 未能在 2023 年之前成功跻身公共云提供商前二名,那么负责监督公司云基础架构和软件即服务的业务部门可能会被取消

日前,Google 发言人在《计算机周刊》发表声明,称这些有关 2018 年会议讨论的报道根本不准确

对此,业内分析师一致认为,结合 Google 这些年来对与云相关的基础架构、销售团队的投资,再加上 Google 在特定的云计算领域的吸引力,例如人工智能、容器、Kubernetes 以及数据分析,Google 似乎不太可能退出云市场。

Google 的云基础设施业务面临主要问题之一,是其利润远不及广告业务,这可能会促使 Alphabet 高管们对云部门的未来进行评估。

Google Cloud CEO Thomas Kurian 此前曾在公开场合表示自己正致力于将 Google Cloud 打造成“最简单的云提供商”,不再强调基础架构,而是更多地关注迁移上云可以帮企业解决的业务问题。公司为此也加大了业务销售和营销方面的投资。