周一见 | GitLab 招聘封锁中俄、K8s 新版本可用性计划、Helm 全版本漏洞
新闻
作者:才云 Caicloud
译者:bot(才云)
2019-11-04 15:20

1CNCF 宣布 Jaeger 毕业

美国时间 2019 年 10 月 31 日,CNCF 宣布开源的端到端分布式跟踪平台 Jaeger 毕业,这是继 Kubernetes、Prometheus、Envoy、CoreDNS、containerd 和 Fluentd 之后的第七个毕业项目。

Jaeger 是 Uber 在 2015 年创建的项目,可用于监视和排除云原生架构的故障。目前已被 20 多个组织用于生产,包括 GrafanaLabs、Uber、红帽等。

2017 年 9 月,Jaeger 被批准为 CNCF 孵化项目。现在它已经完成了孵化以来的第 14 个版本,在 v1.14 中添加了许多重要的新功能,如支持额外的存储后端、新兴标准等。

更多内容,详见《CNCF 宣布 Jaeger 毕业》!

K8s 可用性改善计划公布

今年 7 月,K8s 作者之一 Brendan Burns 发起了一个新的研究小组 SIG-Usability 来改善 K8s 的各种可用性设计、降低 K8s 使用门槛。近日,这个小组对 K8s v1.17 和 v1.18 中的可用性设计形成了初步规划。

根据小组公开的 PPT,他们的初步计划是进一步提高 K8s 的可用性和安全性,而要做到这点,小组成员先要了解各种类型的 K8s 使用者,再找出如何吸引开发者、如何使 K8s 本身易于上手的方法。

PPT 中有一项是针对 kubectl get 事件的功能,小组希望增加更多事件处理功能,但又不变动 kubectl 的 get 功能,例如增加默认事件排序方式,或是提供更多 watch 指令的扩充行为。

3Helm 全版本漏洞

上周,Helm 被曝存在全版本漏洞。受该漏洞影响,Charts 中可能包含恶意符号链接内容,但得不到正确处理

据官方透露,以下命令可能无法安全处理包含恶意符号链接的 Charts:helm packagehelm installhelm upgradehelm dependency build

这个漏洞的源头在于 Helm Charts 可以包含符号链接。当存储在文件系统中时,这个功能提供了一种将图表依赖性符号链接在一起的方法。以下是两种会导致漏洞的符号链接:

  • 指向目标系统上一个特别制作的文件的符号链接,如包含敏感信息的文件;
  • 向特殊文件的符号链接,如设备驱动程序。

据了解,该漏洞影响所有 >=2.0.0 和 <2.15.2 的 Helm 版本,Tiller 版本不受影响,漏洞也不会使集群易受到攻击。

为了减轻漏洞影响,开发者可以不加载、不打包不受信任的内容并升级到 Helm v2.15.2。日前,Helm v3.0.0 已发布 rc2,相信很快我们将迎来这个移除掉 Tiller 的新版本!

4K8s PaaS 应用:美国能源企业

Maverik 是美国山间西部地区最大的独立燃料销售商和便利店连锁店,它拥有超过 5000 名员工,并在美国西部的 11 个州设有 300 多个服务网点。由于正处于快速扩张期,Maverik 需要可实现无阻碍增长的基础架构。

以忠诚度计划、奖励经理和信用卡授权等应用的开发部署为例,如果按以前的开发流程走,工程师需要先建立虚拟机环境,再提供测试环境以及创建、公开 DNS 条目……团队需要耗时两三个月才能启动应用程序。

经过谨慎调研,Maverik 七人开发团队最后选择了微服务和基于 K8s 的 PaaS

  • 只需一个命令即可在任何地方部署和管理高可用性 Kubernetes 集群;
  • 平台自动修复功能可保证集群一切正常;
  • 可轻松实现集群监控;
  • 一个命令行轻松管理集群。

截至目前,Maverik 已在 PaaS 上部署了约七个 Kubernetes 集群,应用程序从零部署效率提升了 300%-400%,更多新需求、新功能得以在短时间内上线。

与此同时,开发团队也可以专注于开发,而不是运行其应用程序所需的基础架构。

5本周 K8s 开源项目推荐

kube-start-stop

github.com/LiliC/kube-start-stop

这个工具可以自动启动和停止命名空间中的 Kubernetes 资源,让你的资源在所需时间段内自动扩缩规模。

ktop

github.com/ynqa/ktop

这是一个可视化监控仪表板,允许开发者定期查看 Pod/Node 的使用情况,并将 Pod 资源的使用与 Node 、限制/请求进行比较。

yunikorn-core

github.com/cloudera/yunikorn-core

这是一个轻量级通用资源调度程序,可帮助开发者在大规模、多租户和云原生环境中有效地实现各种工作负载的细粒度资源共享。

gangway

github.com/heptiolabs/gangway

这是一个可用于通过 OIDC 轻松启用 Kubernetes 集群的身份验证流的应用程序。

kubelogin

github.com/int128/kubelogin

这是用于 Kubernetes OIDC 身份验证的 kubectl 插件。

admission-control

github.com/elithrar/admission-control

这是一个用于构建 Kubernetes 准入控制器的微框架。

6GitLab 招聘封锁中俄

近日,GitLab 发文宣布将针对有权访问客户数据的团队进行“工作家庭国家/地区封锁”。即禁止招聘中国、俄罗斯的程序员担任网络可靠性工程师等职位,也禁止可访问客户数据的已有雇员移居至中国和俄罗斯。

对于这个声明,GitLab 称这是因为企业用户比较关注这个问题,这也是当前地缘政治气候下行业中的一种普遍做法

由于 GitLab 缺乏解决问题的技术解决方案,也不希望未来团队中出现“二等公民”,实行“工作家庭国家/地区封锁”是最“人道”的做法。

GitLab 是一家总部位于旧金山的代码托管公司,其用户包括 IBM、索尼、NASA、阿里巴巴、Oracle、波音等大型科技公司和机构。

招聘封锁声明一出,很多开发者不免联想到了其竞争对手 GitHub。

今年 7 月,GitHub 对克里米亚、古巴、朝鲜、伊朗和叙利亚等被美国贸易制裁的国家的开发者的账户进行了限制,虽然没有对中国开发者造成巨大影响,但当时的事件也在国内也引发了广泛忧虑。此番 GitLab 的行动,无论是出于什么原因,都值得大家警醒。

7Python 之父宣布退休

上周,Python 之父 Guido van Rossum 宣布退休,早在去年,他就已完全脱离 Python 语言项目的决策层。他在推特上表示:

这件事感觉既苦涩又甜蜜:苦涩的是,我马上要离开 Dropbox,现在已经退休;甜蜜的是,在 Dropbox 做工程师期间,我学到很多,比如类型标注就来自这段经历。我会非常怀念在这里工作的日子。

Python 原先是 van Rossum 的个人项目。

20 世纪 80 年代末,他在荷兰国家数学和计算机科学研究中心的 CWI 部门开发分布式系统。由于对已有的编程语言感到十分失望,经过综合比较,他决定借用 ABC 语言的一些特性,开发一种既继承了 ABC 可读性、易用性优点,又能克服其可扩展性缺点的强大语言

1991 年,van Rossum 向全世界发布了 Python。凭借其简单易用,以及在开发大型应用程序上的强大能力,Python 在 90 年代收获大量关注,并成为增长最快的编程语言。

发展至今,人们对 Python 的热情已经远远超出了最初的开发者圈子。不管是专业的还是业余的开发人员,他们都在使用 Python 处理大大小小的任务,如今年出现的第一批黑洞图片就是用 Python 拼接出来的。


291 comCount 0