云原生愛好者周刊：K8s Security SIG 發(fā)布 Kubernetes 策略管理白皮書

云原生一周動態(tài)要聞：

• Istio 1.13 發(fā)布
• CNCF 宣布 2021 年云原生調(diào)查結(jié)果
• 運行時安全項目 Falco 添加可擴展插件框架
• Grafana 8.3.6 發(fā)布
• 開源項目推薦
• 文章推薦

Kubernetes Security SIG 發(fā)布了一份 Kubernetes 策略管理白皮書，讓大家認識到 Kubernetes 策略管理對 Kubernetes 集群和工作負載的重要性，描述了 Kubernetes 策略可以幫助解決哪些問題，以及如何實現(xiàn) Kubernetes 策略。

關(guān)注公眾號『KubeSphere 云原生』：

后臺回復(fù)暗號 kpm 即可獲取該白皮書。

云原生動態(tài)

Istio 1.13 發(fā)布^[1]

日前，Istio 1.13 發(fā)布，這是 2022 年的第一個 Istio 版本。

Kubernetes 版本正式支持 Istio 1.13.01.20 到 1.23。

該版本的亮點如下：

• ProxyConfig 使用 API 配置 Istio sidecar 代理 以前的 Istio 版本允許使用網(wǎng)格范圍內(nèi)的設(shè)置 API 來配置代理級別的 Envoy 選項。在 1.13 版本中，我們已經(jīng)將這種配置提升到其開放的頂級自定義資源 ProxyConfig。與其他 Istio 配置 API 一樣，這個 CR 可以在全局、每個命名空間或每個工作負載進行配置。

• 對遙測 API 的持續(xù)改進 此版本繼續(xù)完善了 Istio 1.11 中引入的新 Telemetry API 。在 1.13 中，添加了對日志記錄 OpenTelemetry、過濾訪問日志和自定義跟蹤服務(wù)名稱的支持。還有大量的錯誤修復(fù)和改進。

• 支持多網(wǎng)絡(luò)網(wǎng)關(guān)的基于主機名的負載均衡器

• 到目前為止，Istio 一直依賴于知道東西向配置中兩個網(wǎng)絡(luò)之間使用的負載均衡器的 IP 地址。Amazon EKS 負載均衡器提供主機名而不是 IP 地址，用戶必須手動解析此名稱并將 IP 地址設(shè)置為解決方法。
• 在 1.13 中，Istio 現(xiàn)在將自動解析網(wǎng)關(guān)的主機名，并且 Istio 現(xiàn)在可以自動發(fā)現(xiàn) EKS 上遠程集群的網(wǎng)關(guān)。

功能更新：

• 在 Istio 1.8 中首次以 Alpha 形式推出的 WorkloadGroup API 功能，在這個版本中已經(jīng)晉升為 Beta 版。

• 授權(quán)策略的運行模式也從實驗版提升到了 Alpha 版。

CNCF 宣布 2021 年云原生調(diào)查結(jié)果^[2]

日前，CNCF 宣布了 2021 年云原生調(diào)查結(jié)果^[3]。這項調(diào)查已經(jīng)進行了 6 年，顯示 Kubernetes 的使用率持續(xù)增長，達到了有史以來的最高水平，96%的組織在使用或評估這項技術(shù)。Kubernetes 已被大型企業(yè)完全接受，甚至在新興技術(shù)中心也在發(fā)展，比如非洲，73% 的受訪者在生產(chǎn)中使用 Kubernetes。

報告的主要結(jié)果包括：

• 容器的采用和 Kubernetes 已經(jīng)成為主流——在全球范圍內(nèi)的使用已經(jīng)上升，特別是在大型組織中。SlashData 報告稱，全球有 560 萬開發(fā)者使用 Kubernetes，占所有后端開發(fā)者的 31%。
• Kubernetes 正在走向“底層”——更多的組織正在利用托管服務(wù)和方案平臺。CNCF CTO Chris Aniszczyk 表示，人們越來越不理解 Kubernetes 和容器本質(zhì)上是一個整體。Datadog 報告稱，近 90%的 Kubernetes 用戶使用云管理服務(wù)，而在 2020 年，這一比例接近 70%。
• 組織正在堆棧向上移動——公司正在采用不太成熟的項目來解決更高級的挑戰(zhàn)，如監(jiān)控和通信。例如，根據(jù) New Relic 的數(shù)據(jù)，監(jiān)測工具 Prometheus 在 2021 年最后 6 個月的整體使用率增長了 43%。

運行時安全項目 Falco 添加可擴展插件框架^[4]

云原生運行時安全項目 Falco 發(fā)布了 0.31.0 版本。此版本引入了一個新的插件系統(tǒng)，用于為 Falco 定義額外的事件源和事件提取器。插件系統(tǒng)包括用于簡化開發(fā)的 SDK，此版本附帶一個新的 AWS CloudTrail 插件。

Falco 可以檢測并警告進行 Linux 系統(tǒng)調(diào)用的行為。Falco 的規(guī)則引擎能夠檢測應(yīng)用程序、容器、主機和容器平臺內(nèi)的異?；顒?。它利用 Linux 內(nèi)核工具來監(jiān)視來自內(nèi)核的系統(tǒng)調(diào)用?？梢栽谑褂锰囟ㄏ到y(tǒng)調(diào)用、這些調(diào)用的參數(shù)或調(diào)用進程的屬性時觸發(fā)警報。這些規(guī)則包括使用特權(quán)容器的特權(quán)升級、命名空間更改、對知名目錄的讀/寫或創(chuàng)建符號鏈接等行為。

此版本中添加的新插件系統(tǒng)旨在標(biāo)準(zhǔn)化如何將額外的事件源（稱為源插件）添加到 Falco 引擎。除了源插件之外，還可以編寫提取器插件，專注于從核心庫或其他插件生成的事件中提取字段。只要插件導(dǎo)出所需的功能，幾乎可以用任何語言編寫插件。但是，插件開發(fā)的首選語言是 Go，其次是 C++，并為這兩種語言發(fā)布了 SDK，以簡化插件開發(fā)。

Grafana 8.3.6 發(fā)布^[5]

日前，Grafana 8.3.6 發(fā)布。Grafana 是一個功能豐富的指標(biāo)標(biāo)準(zhǔn)儀表板和圖形編輯器，用于分析和監(jiān)控 Graphite、Elasticsearch、OpenTSDB、Prometheus 和 InfluxDB。

該版本新特性及改進如下：

• Cloud Monitoring：列出標(biāo)簽時減少請求大小
• Explore: 在表格中顯示標(biāo)量數(shù)據(jù)結(jié)果（此前是在圖標(biāo)中）
• Snapshots: 更新外部快照服務(wù)器的默認 URL
• Table: 使頁腳不重疊表內(nèi)容
• Tempo: 向服務(wù)圖數(shù)據(jù)鏈添加請求直方圖
• Tempo: 將時間范圍添加到功能標(biāo)志后面的速度搜索查詢
• Tempo: 更改查詢類型時，自動清除當(dāng)前查詢結(jié)果
• Tempo: 將搜索結(jié)果中的“開始時間”顯示為相對時間

Bug 修復(fù)：

• Cloud Monitoring: 修復(fù)查詢編輯器中的資源標(biāo)簽
• Cursor sync: 應(yīng)用設(shè)置時不保存儀表板
• LibraryPanels: 修復(fù)了清理庫面板時出現(xiàn)的錯誤
• Logs Panel: 修復(fù)沒有時區(qū)的字符串日期的時間戳解析
• Prometheus: 修復(fù)一些使用 reduce/math 操作的警告查詢
• TablePanel: 修復(fù)臨時變量無法在默認數(shù)據(jù)源上工作的問題
• Text Panel: 修復(fù)元素的對齊方式
• Variables: 修復(fù)了自引用鏈接中常量變量的問題

點擊查看更新公告^[6]。

開源項目推薦

ValidKube^[7]

ValidKube 是一個在線工具，用來提高 Kubernetes 配置清單的質(zhì)量，集成了 3 個開源工具，分別對應(yīng) 3 個不同的功能。

Auto-portforward^[8]

如果你測試 Docker 容器時經(jīng)常會忘記添加 -p 選項，這個工具可以幫到你，它可以自動發(fā)現(xiàn)容器需要暴露的端口，并更新轉(zhuǎn)發(fā)端口，實現(xiàn)和 docker run -p LOCAL:REMOTE 一樣的功能。除了支持 Docker 之外，還支持 kubectl portforward 和 podman。

Kubernetes Volume Autoscaler^[9]

對于 Kubernetes 集群管理員來說，當(dāng)某個應(yīng)用使用的存儲卷容量快被用完時，不得不手動擴大存儲卷的容量，如果有成千上萬個應(yīng)用，將會非常痛苦。Kubernetes Volume Autoscaler 這個項目包含一個 Kubernetes 控制器，它會在存儲卷快被用完時自動增加其容量，支持任何 Kubernetes 集群和云提供商。

文章推薦

使用 Cilium 和 eBPF 檢測容器逃逸^[10]

通過這篇文章，你可以了解到一個能夠訪問 Kubernetes 集群的攻擊者如何從容器中逃逸，大致步驟如下：

• 運行一個 Pod 以獲得 root 權(quán)限
• 逃逸到宿主機中
• 用隱形 Pod 和 fileless 執(zhí)行來持續(xù)攻擊

??在 K8s 中快速部署使用 GitLab 并構(gòu)建 DevOps 項目

對于開源社區(qū)的小伙伴而言，通過 GitLab 社區(qū)版以及 KubeSphere 平臺提供的 DevOps 能力，其實也可以自己嘗試搭建一套類似的 DevOps 平臺來一起感受一下 Kubernetes 時代下 GitOps 體系的魅力。這篇文章將和大家一起動手來實踐一下在 KubeSphere 部署 GitLab CE（Community Edition 社區(qū)版）并構(gòu)建與之聯(lián)動的 DevOps 項目。

??Kubernetes 備份容災(zāi)服務(wù)產(chǎn)品體驗教程

Kubernetes 集群天生自帶自愈功能，但是往往有些意外情況使自愈功能不起作用，如果沒有好的備份工具及定時備份的習(xí)慣，不管對于開發(fā)環(huán)境還是生產(chǎn)環(huán)境來說無疑都是災(zāi)難性的，如果這個時候有一個可視化備份工具友好的幫助集群做定時備份，你的工作會事半功倍。

引用鏈接