综评:5个方面看刚刚发布的Kubernetes 1.12
Kubernetes项目在过去几年中发展迅速,并且作为容器编排和管理解决方案的领导者而备受尊重。有了这个地位,Kubernetes开发者有责任提供经过充分测试,易于维护,高性能和可扩展的API和工具。在即将到来的每个发布周期中,大家都希望继续看到社群聚焦于优先实现现有功能的成熟和稳定而不是新功能的交付。
- 1、改善TLS
安全性是Kubernetes的基石。自Kubernetes 1.4以来,开发者一直在研究为集群运维者提供拥有对TLS管控能力的Kubernetes控制平面组件和kubelet。
在Kubernetes 1.12中,TLS bootstrapping在普遍可用性上大放异彩!此功能大大简化了Kubernetes向集群添加和删除节点的能力。
TLS bootstrapping只是故事的开始。集群运维者需负责确保他们管理的TLS保持更新,并且可以在安全事件面前轮换。考虑到这一点,开发人员开发了一种生成CSRs(Certificate Signing Requests)并将其提交给集群内CA(Certificate Authority)的机制。
- 2、多租户模式得到提高
多租户是一种原则,即软件可以允许以多个“租户”的方式构建,同时保持某些方面的隔离。
通常,基础设施运营商将通过配置隔离硬件和定义路由限制(路由表,VLAN,防火墙规则)来定义这些边界。随着物理,虚拟和容器化环境之间的界限不断模糊,这一切需要进行调整。能够在Kubernetes中使用多租户模式意味着可以进一步利用容器编排器的规模经济优势,同时保证我们的租户安全。
而此时面临的一个问题是如何确定一个租户的工作负载对整个集群中另一个租户的工作负载的优先级。在此Kubernetes 1.12版本中,可以通过新的ResourceQuotaScopeSelector功能支持各种资源配额的优先级。这增强了Kubernetes1.11中提供的优先级分配功能。
在网络安全方面,两个NetworkPolicy组件已GA:egress和ipBlock。
Egress,顾名思义使管理员能够定义网络流量如何离开Pod以及网络中可以传输流量的部分。ipBlock功能允许在NetworkPolicy定义中定义CIDR范围。
- 3、自动扩缩功能趋于成熟
HPA(Horizontal Pod Autoscaler)和VPA(Vertical Pod Autoscaler)类似于那些非容器化自动缩放原理,其中pod可以分别通过创建/删除pod或扩展/收缩pod的资源请求来对负载的变化做出反应。这些功能有助于减少集群运维者配置额外计算节点以处理容量问题时的工作量。
对于Kubernetes 1.12,HPA改进了算法,以帮助确保容器数量更快地达到适当的大小。此外,新版HPA API(v2beta2)改进了对在更广泛的情况下使用自定义指标的支持,以确定何时需要增加或减少pod count。
VPA是Kubernetes集群的可选插件组件,已向beta版发展,继续保持现有生态系统组件的稳定性。
- 4、CSI支持继续进化
随着越来越多的有状态工作负载转移到Kubernetes中,提供一个稳定的框架来向集群提供存储变得非常重要。CSI(Container Storage Interface)就是这样框架,并在几个发布周期中得到了持续的改进。
存储呈现的一个关键特征是考虑存储相对于pod的位置。物理位置上远离Kubernetes的存储会引起延迟和可靠性问题。为了解决这个问题,CSI现在支持拓扑感知的概念,并且此功能在Kubernetes 1.12中转为beta版。这意味着状态工作负载现在可以概念性地了解存储资源的存储位置,无论是架构,数据中心还是可用区域。
- 5、为kubectl构建可扩展框架
kubectl插件在此版本中作为alpha版引入。这个设计类似于git风格的插件。随着运营者对kubectl的日常使用变得更加根深蒂固,适合常见用例的模式已得到开发,例如在特定命名空间中定位kubectl命令。
使用kubectl插件,开发人员可以在不融入核心kubectl代码库的情况下扩展到kubectl,以适应他们的管理方案。这将使团队能够以更一致的方式更快地开发和提供kubectl功能。
本文转移K8S技术社区-综评:5个方面看刚刚发布的Kubernetes 1.12
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Kubernetes网络安全与合规的5招实用技巧
由于Kubernetes动态的特性,难以使用现有工具进行保护或监控。这会对安全性和合规性控制产生重大影响。 边界安全(perimeter security),基于区域的安全性(zone-based security)以及静态防火墙等传统解决方案的可扩展性或灵活性不足以满足 Kubernetes的安全控制监视工具无法涉足微服务的流量。 旨在提供审计跟踪(audit trails)的权限工具同样也是为静态应用程序和环境设计的,对Kubernetes无法正常工作。 由于微服务使用网络,因此开发、平台、网络、安全团队需要访问安全工具,以便他们能以敏捷的方式协同工作。 Kubernetes改变了我们实施安全控制的方式。以下是对这些环境实施安全性管理的一些实践建议: 1 部署你所知的 如果你不知道容器内部是什么就进行部署,这可能给你带来麻烦,特别是如果它含有易受攻击的代码。下载的容器镜像可能包含易受攻击的代码,使得运行时容器可被攻击者利用。因此,实施良好的安全管理并了解正在部署的内容究竟是什么至关重要。 容器扫描可以在一定程度上帮助筛选出含主要CVE(公共漏洞)的容器。假设你的代码完成了你希望它...
- 下一篇
Istio如何与Kubernetes互送助攻?
Olaph Waggoner是IBM的一名软件工程师和开发人员,他在关于微服务的讨论中引用了一个研究结果:2021年容器收入将达到35亿美元,2018年预计为15亿美元。 在OpenInfra Days Vietnam的演讲中,他对微服务、Kubernetes和Istio进行了概述。 小把戏? 他表示,目前业内尚未就微服务的性质达成共识,但已定义的特征包括可独立部署和易于更换。 至于这些服务实际上是不是“很小”,是有争议的。 “如果你有一个hello world应用程序,它所做的只是“print”至控制台,那么可能会被认为很小。”他解释道: “而运行整个应用的数据库服务器仍然可以被视为微服务,但我想没有人会认为它小。” K8S Kubernetes将自己定义为可移植的、可扩展的开源平台,用于管理容器化工作负载和服务,方便声明性配置和自动化。 “简而言之,这是一种管理一堆容器或服务的方式,无论你想要什么,”他说。 啮合良好 Istio是一种开源服务网格,可以透明地分层到现有的分布式应用程序中,允许你连接、保护、控制和观察服务。最后一个定义:服务网格是构成这些分布式应用程序及它们之间交互...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Linux系统CentOS6、CentOS7手动修改IP地址
- Docker安装Oracle12C,快速搭建Oracle学习环境