作者 | 新勝、心貴、進超、元毅、衷源

業界要聞

谷歌：不會向任何基金會捐贈 Knative

自 Knative 專案開始以來，一直存在關於是否將 Knative 捐贈給基金會（例如 CNCF）的疑問。 Google 領導層已經考慮了這一點，並決定在可預見的未來不向任何基金會捐贈 Knative。

containerd v1.3 正式釋出

CNCF 畢業後首個版本，功能擴充套件主要包括對 Windows v2 runtime 的支援以及 Plugins 相關支援(如允許 Plugin 註冊為一個 TCP Service 以及流式外掛支援)，CRI 介面方面相容 Kubernetes v1.12+。

2019 年 Kubernetes 指導委員會選舉結束

共更新 4 個席位(任期 2 年)，目前委員會共 7 個席位。更新席位中 redhat 2 名，google 1 名，Loodse 1 名。

CNCF 釋出 Envoy 專案旅程報告

報告要點包括: 開發速度(關聯維度: code commits/pull requests/issues filed/authors)、程式碼多樣性、文件擴充套件(專案文件的持續增加和改進)。

CNCF 宣佈 Kubernetes Community Days 現已接受申請

借鑑 DevOpsDays 和 OpenStack Days 的專案經驗，為線下組織學習、分享 Kubernetes 實踐等活動提供支援。另外活動至少需要 3 名組織者(其中要求 1 名 cncf member/ cncf 大使/ cncf project maintainer)

上游重要進展

1.Overriding CA file should override skip TLS and CA data

命令列引數 --certificate-authority 指定的 CA 證書不能覆蓋 kubeconfig 中的 skip TLS 和 CA 資料。

2.Adding Kubelet cmd option to make system reserved CPU list specific

kubelet 增加啟動引數 --reserved-cpus，用於明確指定預定的 CPU 核。如 24 cpus 的節點，指定 --reserved-cpus=0,1,2,3 時，使用者的容器將只能使用 4~23 cpu cores。

3.iptables.Monitor: don't be fooled by "could not get lock" errors

 當其他處理在使用 xtables lock 時，iptables.Monitor 的檢查處理將返回錯誤，從而觸發到 iptables rule 的 reload。

4.kubeadm: fix wrong default value for the "upgrade node --certificate-renewal" flag

 kubeadm upgrade node 命令的節點證書更新預設配置為 false，期待預設值為 true。

5.kubeadm operator

對 kubeadm workflows 進行抽象並進行宣告式定義，從而實現對 kubeadm workflow 的自動化執行和編排(如證書更新、kubeadm upgrade 等)。

6.Add KEP for default Even Pods Spreading

叢集管理者或者叢集使用者可以根據叢集拓撲，從更多維度來自定義 pod 的排程分佈區域(當前支援 zone 維度排程 Pod)，比如 physical host, rack 等。

7.修復了 API Server 在大規模場景下，因為請求併發量過多而導致的 goruntine 和記憶體洩露的問題：

• 修復每出現一個 504 response 的請求，就會洩露一個 goruntine 的 bug；
• 修復在請求併發高的情況下，因為 API Server 的 loopclient 限流而導致 API Server 內部的 Controller、ServiceAccount 鑑權 goruntine 被 hang 住，從而導致 goruntine 積壓的 bug；後續關於 loopclient 的設定改進和討論。

開源專案推薦

inlets-operator

為私有 Kubernetes 叢集應用提供 LoadBalancer 服務，應用場景如 rancher k3s，阿里雲的邊緣託管叢集。實現原理為通過雲邊 tunnel 為 internat 應用對外暴露服務，而 inlets-operator 動態管理和更新雲邊 tunnel 配置和部署。

appscode/guard

開源的 Kubernetes Authentication WebHook Server，支援的 auth providers 包括 github，gitlab，LDAP 等。另外也支援為認證使用者配置 groups，從而方便從 group 維度進行 RABC 配置。

本週閱讀推薦

1.《12 Kubernetes configuration best practices》

在本文中，我們將深入探討關鍵的 Kubernetes 安全配置，並推薦您應該遵循的最佳實踐。

2.《Declarative Data Infrastructure Powers the Data Driven Enterprise》

大資料、人工智慧/機器學習和現代分析已經滲透到商業領域，成為企業戰略的關鍵要素，為客戶提供更好的服務、更快的創新並保持競爭優勢。資料是這一切的核心。本文中，將重點介紹 Kubernetes 和相關的原生容器儲存技術如何幫助資料工程師（即 DataOps 團隊）構建可伸縮的、敏捷的資料基礎設施來實現這些目標。

3.《"只做 Kubernetes 分發版沒有前途” Rancher 和阿里雲的合作揭示容器下一步》

雲原生是一種構建和執行應用程式的方法，雲指容器雲，原生意味著開箱即用，不用額外定製開發。以 Docker 技術為起點，Kubernetes 為容器編排工具的趨勢興起，在滿足最初的虛擬化需求後，雲原生將是雲廠商的下一步。

4.《阿里張磊：雲端計算生態價值點正迅速聚焦到“應用”上》

雲原生不再只是基礎設施的開發和運維人員的關注點，在應用交付領域小組成立之後，CNCF 基金會正在同應用開發和應用運維人員更緊密的聯絡在一起。

5.《Istio 熔斷器解析》

作者簡要介紹了熔斷的概念，然後以實戰演練的方式分別演示瞭如何通過 Backyards UI、CLI 等方式建立並設定熔斷功能。注：Backyards 是 Banzai Cloud 開發的一款基於 Istio 的服務網格產品，本文是該產品功能介紹系列中的一篇。

6.《你必知的 Kubernetes 自動縮放》<br />許多 Kubernetes 使用者，特別是那些企業級使用者，很快就遇到了對環境自動縮放的需求。幸運的是，Kubernetes Horizontal Pod Autoscaler（HPA）允許您將部署配置為以多種方式水平擴充套件。使用 Kubernetes Autoscaling 的最大優勢之一是您的叢集可以跟蹤現有 Pod 的負載能力，並計算是否需要更多的 Pod。

7.《基於 Knative Serverless 技術實現天氣服務-上篇》<br />提到天氣預報服務，我們第一反應是很簡單的一個服務，但實際做好天氣預報服務其實並沒有那麼簡單，本文通過 Knative Serverless 角度出發，給你介紹如何基於新一代 Serverless 技術玩轉天氣服務。

“ 阿里巴巴雲原生微信公眾號（ID：Alicloudnative）關注微服務、Serverless、容器、Service Mesh等技術領域、聚焦雲原生流行技術趨勢、雲原生大規模的落地實踐，做最懂雲原生開發者的技術公眾號。”

本文由部落格一文多發平臺 OpenWrite