作者 | 臨石、元毅、冬島、衷源、天元

業界要聞

全球首個開放應用模型 OAM 開源

2019 年 10 月 17 日，阿里巴巴合伙人、阿里云智能基礎產品事業部總經理蔣江偉（花名：小邪）在 Qcon 上海重磅宣布，阿里云與微軟聯合推出開放應用模型 Open Application Model （OAM）開源專案，OAM 的愿景是以標準化的方式溝通和連接應用開發者、運維人員、應用基礎設施，讓云原生應用管理與交付變得更加簡潔，高效，并且可控，

KubeVirt 進入 CNCF Sandbox

KubeVirt 盡管容器技術提供了各種便利，但是在特定情況下使用 VM 仍然是不可避免的（編者按：VM 只是選擇之一，不同的安全容器解決方案都可以在不同方面代替單純的 VM），來自 Redhat 的 KubeVirt 專案可以提供在 K8s 集群內部準備、部署、運行和管理 VM 的能力，讓用戶可以使用 Pod 一樣來使用一個 VM，現在，這個專案已經正式進入了 CNCF 的 Sandbox 了，

Megalix 發布 KubeAdvisor 1.0 版本

KubeAdvisor 日前發布了 1.0 版本，KubeAdvisor 一款輔助 K8s 運維的工具，能夠掃描 K8s 集群的資源、狀態、配置等，通過提供恰當的“可觀測性”（編者按：眼花繚亂的監控資料和曲線圖不等于可觀測性），為集群使用者提供最有價值的資訊，來輔助保障基礎設施和上層應用的可靠性和穩定性，

上游重要進展

1.允許動態調整 kube-scheduler 的 log level，kube-scheduler 作為 K8s 重要的默認調度組件，在一些情況下它們的日志可以反映出不少資訊，這個 PR 允許 kube-scheduler 的日志列印級別可以動態被調整，

2.調度器方面最近的一個舉動是將一些 Prioritizing 的邏輯插件化（Score Plugin），最近幾個相關的PR如下，感興趣的同學可以關注，

• BalancedResourceAllocation
• MostRequestedPriority
• LeastResourcePriority

3.為 scheduler 添加一個跟蹤 Binding 和 Prioritizing 的 goroutine 數目的 metric，

在大規模應用部署等一些特殊場景中，調度器可能成為整體性能的瓶頸，

4.這里有兩個優化 kubeadm 使用體驗的 PR：

1. kubeadm 的 structured output：結構化輸出 kubeadm 的一些輸出資訊（yaml、json 等），方便被繼續處理；
2. kubeadm 添加 --with-ca flag 來顯示 ca 的過期資訊：ca 過期是常見的造成組件不可用的愿意之一，有了這個 flag 可以更方便的指導 ca 的過期資訊，

5.下面是幾個比較重要 / 有意思的 KEP，感興趣的朋友可以關注一下：

1. 為 Kube API Server 的 network proxy 添加了 beta 版畢業條件，KAS 允許配置 Kube API Server 的網路流量到（或者不到）指定的 proxy；
2. insecure kubelet log：通過一個開關，使得在 kubelet 的 serving cert 過期（kube apiserver 不認識 kubelet）但kube-apiserver 的 client cert 沒有過期（kubelet 認識 kube apiserver）的條件下，允許 kubelet 通過跳過 tls 驗證回傳一些 log，這個功能在測驗和debug的場景是有用的，
3. 規范化 conformanece test 的內容的實施（檔案、API schema、代碼檢驗、專家知識等）
4. 擴展 NodeRestriction Controller 來限制更多 Node 可以 Pod 進行的操作（主要是來自安全上的考慮）；
5. HPA 的狀態達到 implementable
6. 兩個計劃中的 GA，對于想要參與到 K8s 社區的新手貢獻者來說，這兩個 KEP 是不錯的切入點（目標、方法很明確的需求）
   1. 根據 Node condition 給 Node 打上 taint 標記，自動化幫助調度器識別出不適合的調度節點；
   1. 之前 DaemonSet 的調度邏輯是在 DaemonSet controller 中的，這個 KEP 希望把調度邏輯移動到調度器中實作，

開源專案推薦

VMware-Tanzu

VMware 已經開始全面支持 K8s，最近該公司在開源方面的一個舉措是將幾個自己擁有的云原生開源專案遷移到了新的 Organization：VMware-Tanzu，這個專案中目前包括下面幾個專案：

• velero：應用遷移工具
• octant：一個集群狀態展示的 dashboard
• sonobuoy：一個 K8s 分析工具
• ······

k8s-transmogrifier

K8s 1.16 中廢棄了大量的 API，影響到很多的已經用于生產的集群配置和 Helm chart 等，這里有一個自動轉換 K8s 1.16 中的 depreciated 的 API 的工具，有需要的人可以了解一下，

本周閱讀推薦

1.《阿里巴巴的研發模式是如何演進的？》

隨著云計算的不斷發展，很多開發者都對這一技術將為開發方式帶來的變化充滿興趣，云計算解決的是從 CAPEX 到 OPEX 的轉變問題，云可以帶來哪些切實的好處？在云環境下應該怎么做應用架構？基于從傳統架構到云架構的親身經歷，阿里巴巴合伙人、阿里云智能基礎產品事業部總經理蔣江偉（小邪）闡述了企業由新架構和新研發模式帶來的價值點，本文整理自正在召開的 QCon 上海 2019 蔣江偉（小邪）的演講內容，

2.《How Zalando manages 140+ Kubernetes Cluster》

本文介紹了 Zalando 的團隊在（公有云上）管理數量棒龐大的 K8s 集群中得到的一些實踐經驗，例如每個 domain 或者 production community 總是部署雙集群（prod & non-prod）、使用 Github 托管組態檔、通過 CLM（Cluster Lifecycle Manager）管理升級等等，

3.《Liveness Probes are Dangerous》

Liveness Probe 和 Readiness Probe 是 K8s 中判斷應用是否可用的重要工具，然而不正確的使用 Liveness Probe 或者 Readiness Probe 會帶來的風險（例如不小心使用了外部依賴、Liveness Probe 有時候反而會阻止 Pod 正確的進入失敗狀態從而無法徹底恢復健康等），這篇文章總結了使用這兩者的最佳實踐，

4.《A Practical Guide to Setting Kubernetes Requests and Limits》

Kubernetes 資源定義中的 request 和 limit 是老生常談的問題了，本文除了更好的解釋這些概念意外，還從 SLA 的角度提供了如何配置它們的建議，

5.《Protecting Kubernetes API Against CVE-2019-11253 (Billion Laughs Attack) and Other Vulnerabilities》

本文通過介紹 K8s 中的一個可能導致 billions laughs attacks 漏洞的例子，講解了在生產環境中使用 K8s 的常規安全操作，包括正確配置 RBAC、定期檢查 Role 和 RoleBinding、永遠不要暴露 Master host 的地址等等，

6.《基于 Knative Serverless 技術實作天氣服務-下篇》

上一期我們介紹了如何基于 Knative Serverless 技術實作天氣服務-上篇，本篇文章我們介紹如何通過表格存盤提供的通道服務，實作 Knative 對接表格存盤事件源，訂閱并通過釘釘發送天氣提醒通知，關于 Knative 更多精彩文章請看 《Knative 系列文章》，

“ 阿里巴巴云原生微信公眾號（ID：Alicloudnative）關注微服務、Serverless、容器、Service Mesh等技術領域、聚焦云原生流行技術趨勢、云原生大規模的落地實踐，做最懂云原生開發者的技術公眾號，”

標籤：其他

上一篇：從零開始入門 K8s | Kubernetes 網路概念及策略控制

下一篇：Podman 使用指南