雲原生愛好者週刊:為 DevOps 流水線準備的 macOS 虛擬化工具
開源專案推薦
Tart
Tart 是一個虛擬化工具集,用於構建、執行和管理 Apple Silicon 晶片 macOS 上的虛擬機器,主要目的是為 CI 流水線的特殊任務提供執行環境。主要亮點:
- 使用 macOS 最新的虛擬化框架
Virtualization.Framework來建立虛擬機器。 - 可以從 OCI 映象倉庫中拉取/推送虛擬機器映象。
- 可以使用 Tart 的 Packer 外掛來自動化虛擬機器建立流程。
- 內建 CI 整合。
Kcli
Kcli 是一個虛擬化平臺管理工具,支援幾乎所有的虛擬化平臺和工具(例如 libvirt、oVirt、OpenStack、VMware vSphere、GCP、AWS 甚至支援 KubeVirt),你可以使用它來建立並管理虛擬機器。
Tetragon
Tetragon 是 Cilium 開源的一款安全檢測引擎,提供了基於 eBPF 的完全透明的安全可觀測效能力以及實時的執行時增強(runtime enforcement)能力。由於基於 eBPF 的核心級收集器中直接內建了智慧核心過濾能力和聚合邏輯,因此 Tetragon 無需更改應用程式即可以非常低的開銷實現深度的可觀測性。內嵌的執行時執行層不僅能夠在系統呼叫層面進行訪問控制,而且能夠檢測到特權、Capabilities 和名稱空間的提權逃逸,並實時自動阻止受影響程序的進一步執行。
Infra
Infra 是一個基礎架構單點登入工具,可以通過連線外部身份源(Identity Provider)或者本地使用者來連線基礎架構叢集(比如 Kubernetes、資料庫等等)。
trzsz-go
Go 語言版的 lrzsz,實現了類似 rz / sz 的功能,相容 tmux。
開源電子書推薦
當 eBPF 遇上 TLS:以安全為中心的 eBPF 簡介
Quarkslab 開源的電子書,介紹如何利用 eBPF 在本機破解 TLS 的明文。感覺場景還是有點問題,既然我都能訪問主機了,能不能獲取明文好像也沒那麼重要,從客戶端層面破解 TLS 還差不多。
文章推薦
對監控系統進行監控:如何對 Prometheus 告警規則進行驗證
Cloudflare 從 2017 年開始就開始大規模使用 Prometheus,Prometheus 的主要職責之一就是在出現故障時向相關人員發生告警,但告警本身是否可靠卻無從而知。本文討論的就是如何驗證 Prometheus 告警的可靠性。
使用 KubeSphere 與極狐GitLab 打造雲原生持續交付系統
KubeSphere 遮蔽了底層 Kubernetes 叢集的差異,解決了 K8s 使用門檻高和雲原生生態工具龐雜的痛點。極狐GitLab 提供了一體化 DevOps 能力覆蓋軟體開發全生命週期(從計劃到運維),同時內建了安全功能,能夠利用開箱即用的安全能力構建 DevSecOps 體系。本文介紹瞭如何結合 KubeSphere 和極狐GitLab,打造出一個適應雲原生時代的持續交付系統。
雲原生動態
Cloud Foundry 基金會推出 Korifi 以簡化 Kubernetes 開發人員體驗
Cloud Foundry 基金會發布了Korfi 的 beta 版本,這是一種新的平臺即服務 (PaaS),旨在簡化開發人員和運營商的 Kubernetes 開發和部署體驗。
該基金會表示,Korfi 帶來了Cloud Foundry以開發人員為中心的體驗,以提供在 Kubernetes 上執行的與 Cloud Foundry 相容的應用程式平臺,因為 Kubernetes 體驗對於運營商和開發人員來說都是複雜的。
藉助 Korfi,Cloud Foundry 正在構建從以前的迭代(如 cf-for-k8s 和 KubeCF)中學到的新架構。Korfi 為雲原生技術帶來了更大的互操作性,為 Kubernetes 帶來了 Cloud Foundry 應用開發者體驗的輕鬆和簡單。這個新專案是 Cloud Foundry Foundation 運作方式發生更深層次變化的結果。
Envoy Gateway 提供標準化 Kubernetes Ingress
Envoy 代理專案正在擴充套件,目的是建立一套標準化的、簡化的 API,用於與 Kubernetes 本身一起工作。
本週,在 KubeCon+CloudNativeCon EU 會議上,該開源專案透露,它一直在開發一個擴充套件專案--Envoy Gateway,該專案將使 Envoy 反向代理成為一個網路閘道器,使其不僅能夠引導內部的微服務流量,還能管理進入網路的外部流量。Kubernetes 是最初的目標。
Envoy 閘道器背後的想法是提供 "一個簡化的部署模型和 API 層,以滿足較輕的使用情況",Envoy 建立者 Mat Klein 在一篇博文中解釋道。
Envoy 最初是為 Lyft 建立的,在 2016 年作為開源專案釋出,主要用於建立服務網格(通常與另一個 CNCF 專案 Istio 一起),以幫助雲原生應用程式通過 sidecar 相互通訊。
Kubernetes 1.24:非優雅節點關閉特性進入 Alpha 階段
Kubernetes v1.24 引入了對非優雅節點關閉(Non-Graceful Node Shutdown)的 alpha 支援。此特性允許有狀態工作負載,在原節點關閉或處於不可恢復狀態(如硬體故障或作業系統損壞)後,故障轉移到不同的節點。
根據反饋和採用情況,Kubernetes 團隊計劃在 1.25 或 1.26,把非優雅節點關閉實現進入 Beta。
此特性要求使用者手動向節點新增汙點,以觸發工作負載故障轉移,並在節點恢復後刪除汙點。未來,我們計劃尋找自動檢測和隔離關閉/故障節點的方法,並將工作負載自動故障轉移到另一個節點。
CNCF Security TAG釋出雲原生安全白皮書新版本
CNCF Security TAG(安全技術諮詢小組,Security Technical Advisory Group)剛剛釋出了一份更新的雲原生安全白皮書 v2,以幫助社群瞭解保護雲原生部署的最佳實踐。該白皮書旨在讓組織及其技術領導,清楚地瞭解雲原生安全、其在生命週期過程中的結合,以及確定 NIST SSDF 等標準適用性的考慮因素。
新版本有以下主要變化:
- 安全預設值——Cloud Native 8:關於實施預設情況下安全的雲原生應用的高階指南。
- SSDF 1.1 版對映:將NIST SSDF 的實踐和任務對映到雲原生安全應用生命週期
- ATT&CK 容器威脅矩陣:總結了威脅矩陣如何提供一個應用本文所述指南的結構
- 關於如何分享反饋的指南;關於如何分享對論文提供反饋的說明現在是論文的一部分,並附有一個簡短的摘要,說明在第一版出版後如何收集和處理反饋。
SPIRE 現在可以在 Windows 上執行
SPIRE 專案的核心是解決大規模安全釋出工作負載身份的問題,無論工作負載在哪裡執行。它通過擁有一個由外掛組成的可擴充套件架構來實現這一點,允許 SPIRE 根據支援不同平臺、雲提供商等的需求而增長。到目前為止,SPIRE 只能部署在 Linux 平臺上。
1.3.0 版本增加了對在 Windows 上執行 SPIRE 伺服器和代理的支援。現有的外掛已被調整為可在 Windows 下執行。此外,還增加了一個新的針對 Windows 的工作負載證明器(類似於現有的 Unix 工作負載證明器),用於為 Windows 工作負載提供針對 Windows 的屬性。
本文由部落格一文多發平臺 OpenWrite 釋出!