云原生愛好者周刊：有一份 DevOps 修煉指南請您查收！

云原生一周動態要聞：

• Cilium 成為 CNCF 范訓專案
• Argo Rollouts v1.1 發布
• 云原生安全微調查結果公布
• IBM 為 Linux 內核引入 CPU Namespace
• BFE Ingress Controller 正式發布
• 開源專案推薦
• 文章推薦

如果你在學習 DevOps 的程序中感到迷茫，不妨看看國外一位工程師開源的 DevOps 知識圖譜，這個圖譜包含了非常明確的學習路徑，以及不同場景所需的各種可選工具，

想獲取高清全圖可關注公眾號「KubeSphere 云原生」，公眾號后臺發送暗號 devops 即可獲取，

如果你更傾向國內的課程，可以關注 KubeSphere 開源社區聯合尚硅谷發布的《云原生實戰》系列課程，該課程不僅僅包含了 DevOps，而是對云原生技術堆疊進行了全面的講解，課程和資料全部可以免費獲取和學習，

云原生動態

Cilium 成為 CNCF 范訓專案

日前，CNCF 技術監督委員會（TOC）投票接受 Cilium 成為 CNCF 的范訓專案，

Cilium 通過充當 CNI 和使用 eBPF 的 Kubernetes 增強網路層，為云原生環境提供網路、安全和可觀測性，

Cilium 專案由多個組件和層組成，這些組件和層可以相互獨立使用，這允許用戶選擇特定的功能，或者將 Cilium 與其他 CNI 結合運行，

• 代理：代理在所有 Kubernetes 作業節點和承載作業負載的其他服務器上運行，它提供了核心 eBPF 平臺，是所有其他 Cilium 組件的基礎，
• 網路插件（CNI）：CNI 插件使組織能夠使用 Cilium 為 Kubernetes 集群和其他依賴 CNI 規范的編配系統提供網路連接，
• Hubble：Hubble 是 Cilium 的可觀測部分，它提供網路和安全日志、指標、跟蹤資料和幾個圖形用戶界面，
• ClusterMesh：ClusterMesh 實作了一個網路或服務網格，它可以跨越多個集群和運行在外部虛擬機或裸金屬服務器上的外部作業負載，它提供跨集群和作業負載的連接性、服務發現、網路安全性和可觀察性，
• 負載均衡器：負載均衡器可以在集群中運行，實作 Kubernetes 服務，也可以在 Kubernetes 集群前獨立運行，提供南北負載均衡，

作為 CNCF 范訓專案，Cilium 已經規劃了完整的路線圖，并正在積極添加新的功能和特性，該團隊將在現有 Envoy Proxy 集成的基礎上增加新的服務網格功能，包括對 OpenTelemetry 專案和 L7 負載平衡控制的支持，它們還將包含用于本地部署的其他特性，包括高級 IPAM 模式、多宿主、服務更改和對外部作業負載的增強支持，最后，該團隊將通過添加進一步的身份集成、更深入的作業負載可見性以及繼續關注基于身份的實施來重點發展安全功能，

詳情見

Argo Rollouts v1.1 發布

日前，Argo Rollouts v1.1 推出，Argo Rollouts 是一個 Kubernetes 漸進式交付運營商，提供先進的藍綠和金絲雀部署策略，具有自動推廣、回滾和指標分析功能，盡管只是一個"小"版本，但 v1.1 版本卻成了 Argo Rollout 有史以來最大的版本，包含了十幾個重要的功能：

• 完全支持通知服務
• 穩定副本集的動態伸縮
• 無需分析的自動回滾
• Kustomize 開放 API 架構
• 推出儀表盤即服務
• 在中止期間控制縮減行為
• ...

Rollouts v1.1 是一個動感十足的版本，解決了來自社區的許多流行的增強請求和可用性建議，可以在 GitHub 頁面下載該版本，

詳情見

云原生安全微調查：超過 80% 的組織希望使用開源軟體構建現代安全系統

在 CNCF 安全技術咨詢小組（TAG）的幫助下，CNCF 最近對社區進行了一項微觀調查，以了解組織如何管理云原生安全，

總體而言，該報告表明，組織認識到云原生架構中傳統安全和現代安全之間的差異，并看到了現代云原生安全的價值，85% 的受訪者表示，安全現代化對其組織的云原生部署非常重要，而且沒有人表示這不重要，

點擊查看微調查的完整結果，該報告包含有關組織最大的擔憂、挑戰和失誤以及邊緣云原生安全狀態的更多詳細資訊，

詳情見

IBM 為 Linux 內核引入 CPU Namespace

IBM 工程師 Pratik Sampat 發布了 Linux 內核的 CPU Namespace 介面的早期原型，該 CPU Namespace 旨在解決當前查看可用 CPU 資源的方法的一致性問題，以及解決因了解系統上的資源訪問/定位而可能產生的安全問題，

IBM 主導的 CPU Namespace 提案追求以下設計：

• 這個原型補丁集引入了一個新的內核 Namespace 機制——CPU Namespace，

• CPU Namespace 通過虛擬化邏輯 CPU ID 并創建相同的加擾虛擬 CPU 映射來隔離 CPU 資訊，它鎖定在 task_struct 上，并且是被設計為平面層次結構的 CPU 轉換，這意味著每個虛擬 Namespace 的 CPU 在創建 Namespace 時映射到物理 CPU，扁平層次結構的優點是翻譯是 O(1) 并且子代不需要遍歷樹來檢索翻譯，

• 然后，該 Namespace 允許控制和顯示介面都能夠感知 CPU Namespace 背景關系，這樣 Namespace 內的任務只能通過虛擬 CPU 映射獲得視圖并因此控制其可用的 CPU 資源和視圖 CPU 資源，

詳情見

BFE Ingress Controller 正式發布

BFE Ingress Controller 是基于 BFE 實作的 Kubernetes Ingress Controller，用于支持在 Kubernetes 中使用 Ingress 來暴露服務并進行負載均衡、SSL 終結等，目前已正式發布并可以下載使用，BFE Ingress Controller 采用 Apache-2.0 License，

BFE Ingress Controller 實作了 Kubernetes 原生 Ingress 的功能，并基于 BFE 的能力，擴展了路由規則描述能力和服務間的流量調度能力，主要功能包括：

• HTTP/HTTPS 流量路由
  • 支持根據 Host、Path、Header、Cookie 對請求進行路由
  • 支持 Path 的精確匹配、前綴匹配
  • 支持 Host 的精確匹配、通配符匹配
• 多 Service 之間負載均衡
  • 支持在提供相同服務的多個 Service 之間按權重進行負載均衡
• TLS 終結
• 灰度發布
  • 支持基于 HTTP Header/Cookie 的服務灰度發布

更多資訊，見 BFE Ingress Controller 的檔案，

詳情見

開源專案推薦

Parca

Parca 是一個類似于 Prometheus 的專案，用來針對應用程式和基礎設施持續分析 CPU、記憶體在一段時間內的使用情況，并細化到行數，以幫助我們節省基礎設施成本，提高性能，增加可靠性，

它的配置格式幾乎完全模仿了 Prometheus，非常容易上手，例如：

debug_info:
  bucket:
    type: "FILESYSTEM"
    config:
      directory: "/tmp"
  cache:
    type: "FILESYSTEM"
    config:
      directory: "/tmp"

scrape_configs:
  - job_name: "default"
    scrape_interval: "1s"
    static_configs:
      - targets: ["127.0.0.1:7070"]

Inspektor Gadget

Inspektor Gadget 是一個 kubectl 插件，用于除錯和檢查 Kubernetes 集群中的應用，雖然它最初是為 Kinvolk 的開源 Kubernetes 發行版 Lokomotive 設計的，但在其他 Kubernetes 發行版上也可以使用，

StackGres

StackGres 是一個運行在 Kubernetes 之上的 PostgreSQL 全家桶，它的部署方式非常簡單，使用 Operator 幾分鐘內即可部署企業級的 Postgres 及其周邊組件，

文章推薦

CNCF Operator 白皮書

隨著 Kubernetes Operator 模式的日益流行，CNCF Operator 作業組（TAG 應用交付）創建了一份白皮書，以幫助最終用戶和軟體供應商采用 Operator 來簡化應用交付和運維，

白皮書的目標是在 Kubernetes 和其他容器調度框架的背景下，為云原生應用的 Operator 提供一個清晰定義和全面指南，它概述了：

• Operator 設計模式和未來的新興模式，
• Operator 應用管理系統的推薦配置、實施和使用案例，
• 最佳實踐，包括可觀測性和安全性，技術實作，以及 CNCF 維護的代碼樣本，
• 對希望設計自己的 Operator 的組織的建議，

使用 eBPF 防止資料外泄

安全不僅僅是防止入侵，還要防止資料外泄，只要防范得當，即使攻擊者獲取了服務器的訪問權限，資料也不會外流到未經授權的地方，本文就探討了如何使用 eBPF 來防止資料外泄，

我們究竟該使用哪個版本的 JDK？

OpenJDK 是 Java SE 規范的開源參考實作，但它僅僅只是源代碼，不同的供應商為不同的平臺提供了二進制發行版，這些發行版在許可證、商業支持、支持的平臺和更新頻率方面都有所不同，本文給出了詳細的選取 OpenJDK 的參考意見，

本文由博客一文多發平臺 OpenWrite 發布！