CNCF 启动全新漏洞赏金计划

日前 CNCF 宣布 Kubernetes 产品安全委员会正在启动一个由 Google、HackerOne、CNCF 资助的公共漏洞赏金计划,以奖励发现 Kubernetes 安全漏洞的开发人员。该计划的奖励额度从 200 美元到 10000 美元不等。

根据官方说法, Kubernetes 漏洞赏金计划的奖励范围涵盖保存在 GitHub 上的 Kubernetes 主要组织代码(有 100 多个经过认证的发行版),以及持续集成、发行和文档。其中集群攻击是比较受关注的一个点,如特权升级、身份验证错误以及 kubelet 或 API 服务器中的远程代码执行。

而社区管理工具(例如 Kubernetes 邮件列表或 Slack 频道)则不在范围内。容器逃逸、对 Linux 内核的攻击或由依赖关系引起的其他问题也不在范围内,如发现这类问题,建议向安全团队反馈。

kubernetes.cn/blog/2020/01/14/kubernetes-bug-bounty-announcement/

2019 云原生中国落地情况白皮书

上周,国内第一个围绕企业数字化转型和云原生应用的报告《2019 云原生中国落地情况白皮书》正式发布。

该白皮书调研组采访了 637 位企业一线技术人员和技术管理层人员,其中约 31% 为企业研发工程师,约 27% 为运维工程师,技术主管占比约 19%,项目经理占比约 15%。

白皮书揭示了一些重要信息:

  • 目前国内的大型企业对应用云原生技术的态度更开放;
  • 86.7% 的受访者已在工作中用到容器,44% 的受访者表示企业正把容器用于核心业务;
  • 目前国内企业在业务上面临的核心痛点是产品交付周期长,运维工作复杂、自动化程度低;
  • 80% 的受访者在管理云容器时首选 Kubernetes;
  • 网络通信是工程师们部署容器时遇到的最棘手的问题;
  • 服务网格是工程师们最关注的新兴云原生技术方向;
  • 2019 年国内企业在应用云原生和人工智能技术上已经出现一定程度的分化;
  • 39% 受访企业每年容器研发预算超百万。

本白皮书由K8sMeetup 中国社区和才云科技发起,联合阿里巴巴云原生、开源中国、k8s 技术圈、Kubernetes 中文社区、容器时代、云片等社区和企业共同发布,目前已开放免费下载

Kubernetes 进入 1.18 发布周期

上周,Kubernetes 项目开发组宣布正式进入 1.18 发布周期,并公布了时间表:

  • 增强功能冻结:1 月 28 日
  • 代码冻结:3 月 5 日
  • 文件到期日:3 月 16 日
  • 新版本发布:3 月 24 日

其他 Merges:

  • Kube-Proxy iptables 模式支持双栈;
  • Kubeadm 支持自动重试镜像提取;
  • 为云节点设置 providerID;
  • 为调度程序 FrameworkHandler 添加 VolumeBinder 字段,以便其与 Volume 一起使用;
  • 添加 kubelet_pleg_last_seen_seconds 指标;
  • 同步静态 Pod 的状态;
  • 在 fluentd-elasticsearch 中自动设置 advertise address;
  • 提高 APIserver 跨多个 IP 地址支持 SNI 的能力;
  • 将 dns-horizontal 容器绑定到 Linux 节点,避免在 Kubernetes 集群上进行 Windows 调度。

lwkd.info/2020/20200113

本周 K8s 开源项目推荐

kubeadm-playbook

  • github.com/ReSearchITEng/kubeadm-playbook
  • 这个工具将 kubeadm 与 Helm Chart 结合在一起,可帮助创建 HA Kubernetes 集群。它附带 kubeadm、各种官方 Helm Chart、微调版文档和最佳实践。

oomhero

  • github.com/ricardomaraschini/oomhero
  • 这是一种辅助工具,可帮助开发者跟踪容器的内存使用情况。

kube-s

  • github.com/binura-g/kube-s
  • 一个轻量级的 CLI 工具,用于在 kubectl 可用的所有集群中快速查找特定的 K8s 资源。

preflight

  • github.com/jetstack/preflight
  • 这是是使用 Open Policy Agent(OPA)自动执行 Kubernetes 集群配置检查的工具。

kubernix

  • github.com/saschagrunert/kubernix
  • 该项目旨在为本地测试、实验和开发提供单一依赖的 Kubernetes 集群。

velero-backup-notification

  • github.com/vitobotta/velero-backup-notification
  • 这是一个用 Ruby 编写的简单 Kubernetes 控制器。

Grafana 发布 TANKA

日前,Grafana Labs 开源了项目 Tanka,方便开发者更灵活地配置 Kubernetes。

Grafana 在博客中指出,YAML 是表达软件配置的最佳语言之一,适用于数据库连接详细信息、TLS 参数等。但它是为表示数据设计的,而不是生成数据。对于像 Kubernetes 这样复杂的系统,YAML 的不足之处日益明显:

  • 重复:如果多个地方(dev 和 prod 环境等)需要同一信息,YAML 会要求开发者复制、粘贴相应行;
  • 固定样板:如果开发者希望手动表达整个 API 对象,这对于 YAML 来说很难实现;
  • 静态性质:YAML 不是动态语言。

为了改善这一状况,Grafana Labs 围绕可复用和语法简洁设计了 TANKA,它使用 Jsonnet 作为配置语言,提供丰富的抽象、环境意识和一个用于创建 Kubernetes 对象的特殊库,而且是非侵入性的。

总的来看,这是继 ksonnet 项目吼,把 Jsonnet 与 Kubernetes 结合使用的又一个尝试。

grafana.com/blog/2020/01/09/introducing-tanka-our-way-of-deploying-to-kubernetes/

高盛发布大型企业 IT 支出报告

近日,投资银行高盛发布了最新的大型企业 IT 支出调查报告,其中包含企业上云情况。调研结果显示,微软 Azure 拿下采用率第一名,而营收则由亚马逊 AWS 领先。

该报告以全球 2000 强大企业为调查对象,最后共获得约 100 位 CIO 的回复。

云基础设施方面,56 家企业采用 Azure,48 家企业采用 AWS。若合并 IaaS 和 PaaS,相比 2017 年的调查结果,微软的领先优势持续提升。而展望三年后的公有云采用情况,更多企业认为他们会将 Azure 作为云基础设施。

根据调研结果,现在这些企业大约有 23% 的 IT 工作负载被放在公共云上,高于 2019 年 6 月份的 19%,在未来三年内,这一比例将达到 43%。这之间的空白为其他竞争者(例如 Google)留下了很大的增长空间。

www.cnbc.com/2020/01/07/microsoft-azure-cloud-winner-at-big-companies-goldman-sachs.html

更多资讯、技术博客,欢迎关注 K8sMeetup 中国社区公众号