周一见 | CNCF 将办 K8s 峰会、Kubernetes 采用率飙升、比较 Linkerd 与 Istio
新闻
作者:bot
译者:bot
2019-08-05 18:30

Kubernetes 资讯 

1. CNCF 宣布将举办 K8s 峰会 

上周,CNCF 宣布将在韩国首尔(12 月 9 日至 10 日)和澳大利亚悉尼(12 月 12 日至 13 日)举办第一、第二届 Kubernetes 峰会

和 KubeCon + CloudNativeCon 大会一样,Kubernetes 峰会旨在促进面对面的协作,并提供丰富的教学体验。在峰会上,与会者可以与 Kubernetes 和其他 CNCF 托管项目的领导者进行互动,合力确定云原生态系统的方向。峰会的发言人一半是国际专家,一半来自当地。

目前,首尔和悉尼峰会的征集建议书(CFP)已经开放,截止日期是 9 月 6 日。2020 年,CNCF 也将在墨西哥城、圣保罗、班加罗尔、新德里、东京、新加坡、特拉维夫等地举办峰会,感兴趣的读者可以持续关注。

2. Kubernetes 采用率飙升  

上周,Kubernetes 安全平台提供商 StackRox 公布了一项对 390 名 IT 专业人士的调查,发现 Kubernetes 的采用率在过去六个月中猛增 51%——86% 的受访者表示他们现在已经采用 Kubernetes,而半年前这一比例只有 57%

调查发现,当企业把应用程序部署在 Kubernetes 上时,44% 的企业选择自行管理他们的 Kubernetes 实例,而其余的则依赖于某种形式的托管服务,如 AWS、微软、Google 和 IBM。

此外,70% 的受访者在本地运行容器,53% 的受访者同时选择本地和公共云。只有 17% 的人在内部运行容器,比六个月前的 31% 有所下降。

在谈及最大的容器安全问题时,60% 的受访者认为错误配置和意外暴露是最严重的。运行时仍然是受访者最担心的容器生命周期阶段(43%),其次是部署(35%)和构建(22%)。超过一半的受访者认为以下七项核心功能是必备的:漏洞管理(75%)、合规性(72%)、可见性(71%)、配置管理(66%)、运行时威胁检测(63%)、网络细分(60%)和风险分析优先级(55%)

有 40% 的人认为缺乏对容器安全的投资是他们对企业容器战略的最大担忧,其次是缺乏详细的计划(34%)。

3. 云计算安全威胁报告 

日前,Palo Alto Networks 威胁情报小组 Unit 42 发布了 Cloudy with a Chance of Entropy 报告,该研究分析了 2018 年 1 月至 2019 年 6 月的数据,评估与云相关的安全威胁

报告称,目前有超过 40000 个云容器平台正在使用默认的、不安全的、开箱即用的配置,他人只需使用简单的搜索术语就识别它们,例如关键词 Docker 和 Kubernetes。虽然这个数字反映了容器的日益普及,但它也是云安全问题越来越严重的佐证(详见“网上可查到 40000 多个 K8s 和 Docker 容器”)。

在公有云方面,云服务提供商(CSP)在平台安全方面做得不错,但内部部署漏洞管理习惯正被转移到云端。报告称,上述漏洞主要针对客户部署到 CSP 基础架构的应用程序,例如过时的 Apache 服务器和易受攻击的 jQuery 软件包。

这些本来应当可以避免,但在过去一年半的时间里,65% 公开披露的云安全事件都是由于配置错误造成的,25% 是由于账户造成的。为了保护云中的应用程序和工作负载,研究人员建议:

  • 确保安全团队可以访问虚拟机、容器和无服务器应用程序的实时视图;
  • 将安全性集成到 DevOps 工作流中,以便安全团队能够以自动化的方式扩展其工作;
  • 加强应用程序和工作负载的安全保障;
  • 保持运行时保护。

4. 本周 K8s 开源项目推荐 

以下是本周社区筛选的 Kubernetes 开源项目:

micro-demos。Kubernetes micro-demos 囊括了大量 Kubernetes 功能高针对性演示 Demo。这些演示基于文本和自动化,非常适合客户会议、meetup 和同事展示。

https://github.com/thockin/micro-demos?utm_sq=g4osr9m9ov

Kafka-Operator。Kafka-Operator 是一种 Kubernetes operator,它旨在提供安全和生产就绪的 Kafka 集群,管理 Kafka 集群扩展和重新平衡,使用 SSL 进行安全通信,根据警报处理自动反应和自我修复。

https://github.com/banzaicloud/kafka-operator?utm_sq=g4oqu5elw4

NVIDIA 文档。NVIDIA 提供了一些关于如何在 Kubernetes 上设置 GPU 的文档。

https://docs.nvidia.com/datacenter/kubernetes/

Sanic。这是一个开发、构建和部署 Docker/Kubernetes 项目的一体化工具。它侧重于提高开发人员工作体验,允许实时将源代码批量安装到容器中,根据团队已经熟悉模式模拟 Kubernetes 配置,并支持并发构建。

https://github.com/distributed-containers-inc/sanic?utm_sq=g4on79mb78

Awesome Kafka Resources。KStreams 和 KSQL 的产品负责人 Michael Drogalis 整理了一份完善的 Kafka 学习、实操文档。

https://docs.google.com/spreadsheets/d/1VcIk_enQ5wefkbRWAoSpy3ZZux5-WgSPipqVLuNsjcA/edit#gid=0

Shell-operator。这是一个在 Kubernetes 集群中运行事件驱动脚本的工具。它的功能有:

  • 轻松管理 Kubernetes 集群:使用 Ops 常用工具,如 Bash、Python、Kubectl 等;
  • Kubernetes 对象事件:可以通过添加、更新或删除事件来触发 hook;
  • 对象选择器和属性过滤器:Shell-operator 只能监视特定对象并检测其属性的变化;
  • 简单配置:hook 绑定的定义是 stdout 上的 JSON。

https://github.com/flant/shell-operator?utm_sq=g4m1agd91n

5. 荐读:K8s 的艰难之路 

几年前,开源倡导者 Kelsey Hightower 撰写了《Kubernetes The Hard Way》,分享了自己如何抛弃完全自动化命令,转而以艰难的方式设置 Kubernetes 的心得教程。上周,该教程的 Azure 版又一次火了。以下两个文档,没读过的读者不容错过!

GCP:

https://github.com/kelseyhightower/kubernetes-the-hard-way

Azure:

https://github.com/salaxander/kubernetes-the-hard-way?utm_sq=g4or6r2ieb

6. 荐读:比较 Linkerd 与 Istio 

服务网格是部署和管理分布式应用程序和服务的基本工具,它有两种流行的技术:Istio 和 Linkerd。虽然它们有一些相似之处,但它们也有 IT 团队需要了解的独特差异。

博客:

https://searchitoperations.techtarget.com/feature/Compare-Linkerd-vs-Istio-for-service-mesh-technology

AI 资讯

1. 清华“天机芯片”登 Nature 封面 

8 月 1 日,《Nature》封面文章介绍了清华大学在通用人工智能上的新尝试——面向通用人工智能的异构天机芯片架构。这项研究由清华大学类脑计算研究中心施路平教授团队主导,这也是中国芯片第一次登上《Nature》。

神经科学和计算机科学是学界发展通用人工智能的两大方向,它们虽然各有优缺点,但都代表人脑处理信息的部分模式。在清华大学的这项研究中,他们提出一种融合两大架构的多核架构,既有多个高度可重构的功能性核,也可以同时支持机器学习算法和类脑电路。

在该架构之上,团队成功研制出一种混合芯片——天机芯片(Tianjic)。天机芯片由 156 个 FCores 组成,包含约 40000 个神经元和 1000 万个突触,采用 28 纳米工艺制程。在演示中,通过一块天机芯片,无人自行车不仅可以识别语音指令、实现自平衡控制,还能对前方行人进行探测和跟踪,并自动避障。

论文:

https://www.nature.com/articles/s41586-019-1424-8

其他 

1. 黑客界奥斯卡 Pwnie 提名 

8 月 7 日,一年一度的全球黑客大会 Black Hat 将在美国拉斯维加斯举行,而有白帽黑客奥斯卡之称的 Pwine Awards 正是大会最受关注的保留节目。日前,The Pwnies Awards 官网公布了 2019 年的安全漏洞提名名单。

名单第一条是台湾黑客 Orange Tsai 公布的 Jenkins 未授权 RCE。作为世界上应用最广泛的 CI/CD 工具,如果有人控制了 Jenkins 服务器,他就可以获得大量源代码和凭证,甚至可以控制 Jenkins 节点。考虑到该发布的严重性,Jenkins 在短时间内发布了多个漏洞,进行了及时修复:

  • CVE-2018-1999002
  • CVE-2018-1000600
  • CVE-2018-1999046
  • CVE-2018-1000861
  • CVE-2019-1003000
  • CVE-2019-1003001
  • CVE-2019-1003002

除了 Jenkins,今年 2 月的 runc 容器逃逸漏洞 CVE-2019-5736 也赫然列在提名名单中。该漏洞允许恶意用户覆写宿主机上的 runc 二进制文件,并获得宿主机的 root 权限,其恶劣影响波及 Docker、containerd、cri-o 等使用了 runc 的容器运行时。此外,Pwnie 还列出了各个领域的一系列重大漏洞发现,感兴趣的读者可以去官网一探究竟。https://pwnies.com/nominations-2019/

970 comCount 0