云原生愛好者周刊：K8s Security SIG 發布 Kubernetes 策略管理白皮書

云原生一周動態要聞：

• Istio 1.13 發布
• CNCF 宣布 2021 年云原生調查結果
• 運行時安全專案 Falco 添加可擴展插件框架
• Grafana 8.3.6 發布
• 開源專案推薦
• 文章推薦

Kubernetes Security SIG 發布了一份 Kubernetes 策略管理白皮書，讓大家認識到 Kubernetes 策略管理對 Kubernetes 集群和作業負載的重要性，描述了 Kubernetes 策略可以幫助解決哪些問題，以及如何實作 Kubernetes 策略，

關注公眾號『KubeSPhere 云原生』，后臺回復暗號 kpm 即可獲取該白皮書，

云原生動態

Istio 1.13 發布

日前，Istio 1.13 發布，這是 2022 年的第一個 Istio 版本，

Kubernetes 版本正式支持 Istio 1.13.01.20到1.23，

該版本的亮點如下：

• ProxyConfig 使用 API 配置 Istio sidecar 代理
  以前的 Istio 版本允許使用網格范圍內的設定 API 來配置代理級別的 Envoy 選項，在 1.13 版本中，我們已經將這種配置提升到其開放的頂級自定義資源 ProxyConfig，與其他 Istio 配置 API 一樣，這個 CR 可以在全域、每個命名空間或每個作業負載進行配置，

• 對遙測 API 的持續改進
  此版本繼續完善了 Istio 1.11 中引入的新 Telemetry API ，在 1.13 中，添加了對日志記錄OpenTelemetry、過濾訪問日志和自定義跟蹤服務名稱的支持，還有大量的錯誤修復和改進，

• 支持多網路網關的基于主機名的負載均衡器

  • 到目前為止，Istio 一直依賴于知道東西向配置中兩個網路之間使用的負載均衡器的 IP 地址，Amazon EKS 負載均衡器提供主機名而不是 IP 地址，用戶必須手動決議此名稱并將 IP 地址設定為解決方法，
  • 在 1.13 中，Istio 現在將自動決議網關的主機名，并且 Istio 現在可以自動發現 EKS 上遠程集群的網關，

功能更新：

• 在 Istio 1.8 中首次以 Alpha 形式推出的 WorkloadGroup API 功能，在這個版本中已經晉升為 Beta 版，

• 授權策略的運行模式也從實驗版提升到了 Alpha 版，

CNCF 宣布 2021 年云原生調查結果

日前，CNCF 宣布了 2021 年云原生調查結果，這項調查已經進行了 6 年，顯示 Kubernetes 的使用率持續增長，達到了有史以來的最高水平，96%的組織在使用或評估這項技術，Kubernetes 已被大型企業完全接受，甚至在新興技術中心也在發展，比如非洲，73% 的受訪者在生產中使用 Kubernetes，

報告的主要結果包括：

• 容器的采用和 Kubernetes 已經成為主流——在全球范圍內的使用已經上升，特別是在大型組織中，SlashData 報告稱，全球有 560 萬開發者使用 Kubernetes，占所有后端開發者的 31%，
• Kubernetes 正在走向“底層”——更多的組織正在利用托管服務和方案平臺，CNCF CTO Chris Aniszczyk 表示，人們越來越不理解 Kubernetes 和容器本質上是一個整體，Datadog 報告稱，近 90%的 Kubernetes 用戶使用云管理服務，而在 2020 年，這一比例接近 70%，
• 組織正在堆疊向上移動——公司正在采用不太成熟的專案來解決更高級的挑戰，如監控和通信，例如，根據 New Relic 的資料，監測工具 Prometheus 在 2021 年最后 6 個月的整體使用率增長了 43%，

運行時安全專案 Falco 添加可擴展插件框架

云原生運行時安全專案 Falco 發布了 0.31.0 版本，此版本引入了一個新的插件系統，用于為 Falco 定義額外的事件源和事件提取器，插件系統包括用于簡化開發的 SDK，此版本附帶一個新的 AWS CloudTrail 插件，

Falco 可以檢測并警告進行 Linux 系統呼叫的行為，Falco 的規則引擎能夠檢測應用程式、容器、主機和容器平臺內的例外活動，它利用 Linux 內核工具來監視來自內核的系統呼叫，可以在使用特定系統呼叫、這些呼叫的引數或呼叫行程的屬性時觸發警報，這些規則包括使用特權容器的特權升級、命名空間更改、對知名目錄的讀/寫或創建符號鏈接等行為，

此版本中添加的新插件系統旨在標準化如何將額外的事件源（稱為源插件）添加到 Falco 引擎，除了源插件之外，還可以撰寫提取器插件，專注于從核心庫或其他插件生成的事件中提取欄位，只要插件匯出所需的功能，幾乎可以用任何語言撰寫插件，但是，插件開發的首選語言是 Go，其次是 C++，并為這兩種語言發布了 SDK，以簡化插件開發，

Grafana 8.3.6 發布

日前，Grafana 8.3.6 發布，Grafana 是一個功能豐富的指標標準儀表板和圖形編輯器，用于分析和監控 Graphite、Elasticsearch、OpenTSDB、Prometheus 和 InfluxDB，

該版本新特性及改進如下：

• Cloud Monitoring：列出標簽時減少請求大小
• Explore: 在表格中顯示標量資料結果（此前是在圖示中）
• Snapshots: 更新外部快照服務器的默認 URL
• Table: 使頁腳不重疊表內容
• Tempo: 向服務圖資料鏈添加請求直方圖
• Tempo: 將時間范圍添加到功能標志后面的速度搜索查詢
• Tempo: 更改查詢型別時，自動清除當前查詢結果
• Tempo: 將搜索結果中的“開始時間”顯示為相對時間

Bug 修復：

• Cloud Monitoring: 修復查詢編輯器中的資源標簽
• Cursor sync: 應用設定時不保存儀表板
• LibraryPanels: 修復了清理庫面板時出現的錯誤
• Logs Panel: 修復沒有時區的字串日期的時間戳決議
• Prometheus: 修復一些使用 reduce/math 操作的警告查詢
• TablePanel: 修復臨時變數無法在默認資料源上作業的問題
• Text Panel: 修復元素的對齊方式
• Variables: 修復了自參考鏈接中常量變數的問題

點擊查看更新公告，

開源專案推薦

ValidKube

ValidKube 是一個在線工具，用來提高 Kubernetes配置清單的質量，集成了 3 個開源工具，分別對應 3 個不同的功能，

Auto-portforward

如果你測驗 Docker 容器時經常會忘記添加 -p 選項，這個工具可以幫到你，它可以自動發現容器需要暴露的埠，并更新轉發埠，實作和 docker run -p LOCAL:REMOTE 一樣的功能，除了支持 Docker 之外，還支持 kubectl portforward 和 podman，

Kubernetes Volume Autoscaler

對于 Kubernetes 集群管理員來說，當某個應用使用的存盤卷容量快被用完時，不得不手動擴大存盤卷的容量，如果有成千上萬個應用，將會非常痛苦，Kubernetes Volume Autoscaler 這個專案包含一個 Kubernetes 控制器，它會在存盤卷快被用完時自動增加其容量，支持任何 Kubernetes 集群和云提供商，

文章推薦

使用 Cilium 和 eBPF 檢測容器逃逸

通過這篇文章，你可以了解到一個能夠訪問 Kubernetes 集群的攻擊者如何從容器中逃逸，大致步驟如下：

• 運行一個 Pod 以獲得 root 權限
• 逃逸到宿主機中
• 用隱形 Pod 和 fileless 執行來持續攻擊

在 K8s 中快速部署使用 GitLab 并構建 DevOps 專案

對于開源社區的小伙伴而言，通過 GitLab 社區版以及 KubeSphere 平臺提供的 DevOps 能力，其實也可以自己嘗試搭建一套類似的 DevOps 平臺來一起感受一下 Kubernetes 時代下 GitOps 體系的魅力，這篇文章將和大家一起動手來實踐一下在 KubeSphere 部署 GitLab CE（Community Edition 社區版）并構建與之聯動的 DevOps 專案，

Kubernetes 備份容災服務產品體驗教程

Kubernetes 集群天生自帶自愈功能，但是往往有些意外情況使自愈功能不起作用，如果沒有好的備份工具及定時備份的習慣，不管對于開發環境還是生產環境來說無疑都是災難性的，如果這個時候有一個可視化備份工具友好的幫助集群做定時備份，你的作業會事半功倍，

本文由博客一文多發平臺 OpenWrite 發布！

標籤：其他

上一篇：Splay入門（平衡樹）

下一篇：讓 JuiceFS 幫你做好「異地備份」