作者 | 新胜、心贵、进超、元毅、衷源

业界要闻

谷歌：不会向任何基金会捐赠 Knative

自 Knative 项目开始以来，一直存在关于是否将 Knative 捐赠给基金会（例如 CNCF）的疑问。 Google 领导层已经考虑了这一点，并决定在可预见的未来不向任何基金会捐赠 Knative。

 

 

containerd v1.3 正式发布

CNCF 毕业后首个版本，功能扩展主要包括对 Windows v2 runtime 的支持以及 Plugins 相关支持(如允许 Plugin 注册为一个 TCP Service 以及流式插件支持)，CRI 接口方面兼容 Kubernetes v1.12+。

 

2019 年 Kubernetes 指导委员会选举结束

共更新 4 个席位(任期 2 年)，目前委员会共 7 个席位。更新席位中 redhat 2 名，google 1 名，Loodse 1 名。

 

CNCF 发布 Envoy 项目旅程报告

报告要点包括: 开发速度(关联维度: code commits/pull requests/issues filed/authors)、代码多样性、文档扩展(项目文档的持续增加和改进)。

 

CNCF 宣布 Kubernetes Community Days 现已接受申请

借鉴 DevOpsDays 和 OpenStack Days 的项目经验，为线下组织学习、分享 Kubernetes 实践等活动提供支持。另外活动至少需要 3 名组织者(其中要求 1 名 cncf member/ cncf 大使/ cncf project maintainer)

 

上游重要进展

1. Overriding CA file should override skip TLS and CA data

命令行参数 --certificate-authority 指定的 CA 证书不能覆盖 kubeconfig 中的 skip TLS 和 CA 数据。

 

1. Adding Kubelet cmd option to make system reserved CPU list specific

kubelet 增加启动参数 --reserved-cpus，用于明确指定预定的 CPU 核。如 24 cpus 的节点，指定 --reserved-cpus=0,1,2,3 时，用户的容器将只能使用 4~23 cpu cores。

 

1. iptables.Monitor: don't be fooled by "could not get lock" errors

 当其他处理在使用 xtables lock 时，iptables.Monitor 的检查处理将返回错误，从而触发到 iptables rule 的 reload。

 

1. kubeadm: fix wrong default value for the "upgrade node --certificate-renewal" flag

 kubeadm upgrade node 命令的节点证书更新默认配置为 false，期待默认值为 true。

 

1. kubeadm operator

对 kubeadm workflows 进行抽象并进行声明式定义，从而实现对 kubeadm workflow 的自动化执行和编排(如证书更新、kubeadm upgrade 等)。

 

1. Add KEP for default Even Pods Spreading

集群管理者或者集群用户可以根据集群拓扑，从更多维度来自定义 pod 的调度分布区域(当前支持 zone 维度调度 Pod)，比如 physical host, rack 等。

 

1. 修复了 API Server 在大规模场景下，因为请求并发量过多而导致的 goruntine 和内存泄露的问题：

1. 1. 修复每出现一个 504 response 的请求，就会泄露一个 goruntine 的 bug；
   2. 修复在请求并发高的情况下，因为 API Server 的 loopclient 限流而导致 API Server 内部的 Controller、ServiceAccount 鉴权 goruntine 被 hang 住，从而导致 goruntine 积压的 bug；后续关于 loopclient 的设置改进和讨论。

 

开源项目推荐

inlets-operator

为私有 Kubernetes 集群应用提供 LoadBalancer 服务，应用场景如 rancher k3s，阿里云的边缘托管集群。实现原理为通过云边 tunnel 为 internat 应用对外暴露服务，而 inlets-operator 动态管理和更新云边 tunnel 配置和部署。

 

appscode/guard

开源的 Kubernetes Authentication WebHook Server，支持的 auth providers 包括 github，gitlab，LDAP 等。另外也支持为认证用户配置 groups，从而方便从 group 维度进行 RABC 配置。

 

本周阅读推荐

1. 《12 Kubernetes configuration best practices》

在本文中，我们将深入探讨关键的 Kubernetes 安全配置，并推荐您应该遵循的最佳实践。

 

1. 《Declarative Data Infrastructure Powers the Data Driven Enterprise》

大数据、人工智能/机器学习和现代分析已经渗透到商业领域，成为企业战略的关键要素，为客户提供更好的服务、更快的创新并保持竞争优势。数据是这一切的核心。本文中，将重点介绍 Kubernetes 和相关的原生容器存储技术如何帮助数据工程师（即 DataOps 团队）构建可伸缩的、敏捷的数据基础设施来实现这些目标。

 

1. 《"只做 Kubernetes 分发版没有前途” Rancher 和阿里云的合作揭示容器下一步》

云原生是一种构建和运行应用程序的方法，云指容器云，原生意味着开箱即用，不用额外定制开发。以 Docker 技术为起点，Kubernetes 为容器编排工具的趋势兴起，在满足最初的虚拟化需求后，云原生将是云厂商的下一步。

 

1. 《阿里张磊：云计算生态价值点正迅速聚焦到“应用”上》

云原生不再只是基础设施的开发和运维人员的关注点，在应用交付领域小组成立之后，CNCF 基金会正在同应用开发和应用运维人员更紧密的联系在一起。

 

1. 《Istio 熔断器解析》

作者简要介绍了熔断的概念，然后以实战演练的方式分别演示了如何通过 Backyards UI、CLI 等方式创建并设置熔断功能。注：Backyards 是 Banzai Cloud 开发的一款基于 Istio 的服务网格产品，本文是该产品功能介绍系列中的一篇。

 

6.《你必知的 Kubernetes 自动缩放》

许多 Kubernetes 用户，特别是那些企业级用户，很快就遇到了对环境自动缩放的需求。幸运的是，Kubernetes Horizontal Pod Autoscaler（HPA）允许您将部署配置为以多种方式水平扩展。使用 Kubernetes Autoscaling 的最大优势之一是您的集群可以跟踪现有 Pod 的负载能力，并计算是否需要更多的 Pod。

 

7.《基于 Knative Serverless 技术实现天气服务-上篇》

提到天气预报服务，我们第一反应是很简单的一个服务，但实际做好天气预报服务其实并没有那么简单，本文通过 Knative Serverless 角度出发，给你介绍如何基于新一代 Serverless 技术玩转天气服务。

“ 阿里巴巴云原生微信公众号（ID：Alicloudnative）关注微服务、Serverless、容器、Service Mesh等技术领域、聚焦云原生流行技术趋势、云原生大规模的落地实践，做最懂云原生开发者的技术公众号。”