开源项目推荐
Stern 是一个针对 Kubernetes 的多 pod 和容器日志跟踪工具。可以跟踪 Kubernetes 上的多个 pod 和 pod 中的多个容器。每个结果都用颜色编码,以便快速调试。
在容器映像(ECS、Docker、Kubernetes)内执行本地健康检查探测的命令行工具。当你的容器被攻破时,入侵者/攻击者可以使用 wget 或 curl 等工具下载更多工具,以便在你的系统内进一步开发和横向移动。
Kpad 是一款简单的多平台终端编辑器,用于编辑 Kubernetes 声明性清单 yaml 文件。
PuzzleFS 是一个容器文件系统,旨在解决现有 OCI 格式的局限性。该项目的主要目标是减少重复、可重现镜像构建、支持直接挂载和内存安全保证。
文章推荐
这篇文章是关于使用 kubectl 进行 Kubernetes 诊断的指南。作者列出了 100 个 kubectl 命令,这些命令对于诊断 Kubernetes 集群中的问题非常有用。这些问题包括但不限于:
- 集群信息
- Pod 诊断
- 服务诊断
- 部署诊断
- 网络诊断
- 持久卷和持久卷声明诊断
- 资源使用情况
- 安全和授权
- 节点故障排除
- 其他诊断命令:文章还提到了许多其他命令,如资源扩展和自动扩展、作业和定时作业诊断、Pod 亲和性和反亲和性规则、RBAC 和安全、服务账号诊断、节点排空和取消排空、资源清理等。
这篇文章介绍了如何通过使用 Pod Security Admission (PSA)来改善 Kubernetes 的安全性姿态。PSA 是一个控制器,取代了 PodSecurityPolicy (PSP),它可以更容易地强制执行预定义的 Pod 安全标准 (PSS)。通过向命名空间添加一个标签,可以根据 Pod 安全标准的三个级别(特权、基线和受限)对 Pod 的安全上下文和其他相关字段进行要求。
这篇文章介绍了如何使用 Kubernetes 事件驱动自动缩放(KEDA)来提升 Kubernetes 工作负载的自动缩放能力。文章指出了使用水平 Pod 自动缩放器(HPA)存在的一些限制,并介绍了 KEDA 作为一种替代方案的优势。
云原生动态
微软 Azure 孵化团队推出了一个名为 Radius 的开源(Apache 2.0 许可)平台,旨在跨企业内部、Azure 或 AWS 部署应用程序,后续还会有更多提供商加入。
Radius 的核心是一个名为通用控制平台(Universal Control Platform,简称 UCP)的东西,根据文档介绍,UCP 是用 Go 编写的新代码,"基于 Azure 资源管理器(Azure Resource Manager,简称 ARM)控制平面的设计原则,但经过通用化后可在多个云和系统中运行"。Azure 资源管理器是 Azure 的一项管理服务,可以创建、删除和更新 Azure 服务。同样,UCP 发布 REST API,并将请求路由到可以管理服务的资源提供商。
Reddit 的安全工程团队最近公布了其规则执行系统的现代化情况,该系统可实时检测违反政策的内容并采取行动。新架构包括从基于 EC2 的传统系统过渡到 Kubernetes、利用 Github 和 S3 存储实现更好的规则版本控制以及利用 Flink 状态函数实现更高效扩展等改进。
规则执行 V2(REV2)是 Reddit 的现代化规则引擎系统,用于检测违反政策的内容并采取行动。REV2 的核心是使用 Lua 脚本(称为 "规则"),根据 Kafka 的特定事件(如用户发布或评论)触发规则。
CNCF Kubernetes 政策工作组(WG)发布了一份关于基于政策的治理、风险和合规性的新文件,以帮助社区了解如何利用云原生最佳实践来应对关键业务风险。
该文件旨在让大家清楚地了解为什么 "政策即代码 "对于企业减少工作量和扩大云原生技术的使用范围以加速交付非常重要。
本文由博客一文多发平台 OpenWrite 发布!
