Posts in 2023
-
Kubernetes 机密:使用机密虚拟机和安全区来增强你的集群安全性
2023.07.06 in 博客
作者:Fabian Kammel (Edgeless Systems), Mikko Ylinen (Intel), Tobin Feldman-Fitzthum (IBM) 译者:顾欣 在这篇博客文章中,我们将介绍机密计算(Confidential Computing,简称 CC)的概念, 以增强任何计算环境的安全和隐私属性。此外,我们将展示云原生生态系统, 特别是 Kubernetes,如何从新的计算范式中受益。 机密计算是一个先前在云原生领域中引入的概念。 机密计算联 …
-
在 CRI 运行时内验证容器镜像签名
2023.06.29 in 博客
作者: Sascha Grunert 译者: Michael Yao (DaoCloud) Kubernetes 社区自 v1.24 版本开始对基于容器镜像的工件进行签名。在 v1.26 中, 相应的增强特性从 alpha 进阶至 beta,引入了针对二进制工件的签名。 其他项目也采用了类似的方法,为其发布版本提供镜像签名。这意味着这些项目要么使用 GitHub actions 在自己的 CI/CD 流程中创建签名,要么依赖于 Kubernetes 的镜像推广流程, 通过向 k/k8s.io …
-
dl.k8s.io 采用内容分发网络(CDN)
2023.06.09 in 博客
作者:Arnaud Meukam (VMware), Hannah Aubry (Fast Forward), Frederico Muñoz (SAS Institute) 译者:Xin Li (Daocloud) 我们很高兴地宣布,官方 Kubernetes 二进制文件的主页 dl.k8s.io 很快将由 Fastly 提供支持。 Fastly 以其高性能内容分发网络(CDN)而闻名, 该网络旨在全球范围内快速可靠地分发内容。凭借其强大的网络,Fastly 将帮助我们实现比以往更快、更可靠 …
-
使用 OCI 工件为 seccomp、SELinux 和 AppArmor 分发安全配置文件
2023.05.24 in 博客
作者: Sascha Grunert 译者: Michael Yao (DaoCloud) Security Profiles Operator (SPO) 使得在 Kubernetes 中管理 seccomp、SELinux 和 AppArmor 配置文件变得更加容易。 它允许集群管理员在预定义的自定义资源 YAML 中定义配置文件,然后由 SPO 分发到整个集群中。 安全配置文件的修改和移除也由 Operator 以同样的方式进行管理,但这只是其能力的一小部分。 SPO 的另一个核心特性是 …
-
在边缘上玩转 seccomp 配置文件
2023.05.18 in 博客
作者: Sascha Grunert 译者: Michael Yao (DaoCloud) [Security Profiles Operator (SPO)][spo] 是一个功能丰富的 Kubernetes [operator][operator], 相比以往可以简化 seccomp、SELinux 和 AppArmor 配置文件的管理。 从头开始记录这些配置文件是该 Operator 的关键特性之一,这通常涉及与大型 CI/CD 系统集成。 在边缘场景中测试 Operator 的记录能力 …
-
Kubernetes 1.27: KMS V2 进入 Beta 阶段
2023.05.16 in 博客
作者: Anish Ramasekar, Mo Khan, and Rita Zhang (Microsoft) 译者: Xin Li (DaoCloud) 在 Kubernetes 1.27 中,我们(SIG Auth)将密钥管理服务(KMS)v2 API 带入 Beta 阶段。 KMS 是什么? 保护 Kubernetes 集群时首先要考虑的事情之一是加密静态的 etcd 数据。 KMS 为供应商提供了一个接口,以便利用存储在外部密钥服务中的密钥来执行此加密。 KMS v1 自 1.10 …
-
Kubernetes 1.27:关于加快 Pod 启动的进展
2023.05.15 in 博客
作者:Paco Xu (DaoCloud), Sergey Kanzhelev (Google), Ruiwen Zhao (Google) 译者:Michael Yao (DaoCloud) 如何在大型集群中加快节点上的 Pod 启动?这是集群管理员可能面临的常见问题。 本篇博文重点介绍了从 kubelet 一侧加快 Pod 启动的方法。它不涉及通过 kube-apiserver 由 controller-manager 创建 Pod 所用的时间, 也不包括 Pod …
-
Kubernetes 1.27: 原地调整 Pod 资源 (alpha)
2023.05.12 in 博客
作者: Vinay Kulkarni (Kubescaler Labs) 译者:Paco Xu (Daocloud) 如果你部署的 Pod 设置了 CPU 或内存资源,你就可能已经注意到更改资源值会导致 Pod 重新启动。 以前,这对于运行的负载来说是一个破坏性的操作。 在 Kubernetes v1.27 中,我们添加了一个新的 alpha 特性,允许用户调整分配给 Pod 的 CPU 和内存资源大小,而无需重新启动容器。 首先,API 层面现在允许修改 Pod 容器中的 resources …
-
Kubernetes 1.27:为 NodePort Service 分配端口时避免冲突
2023.05.11 in 博客
作者: Xu Zhenglun (Alibaba) 译者: Michael Yao (DaoCloud) 在 Kubernetes 中,对于以一组 Pod 运行的应用,Service 可以为其提供统一的流量端点。 客户端可以使用 Service 提供的虚拟 IP 地址(或 VIP)进行访问, Kubernetes 为访问不同的后端 Pod 的流量提供负载均衡能力, 但 ClusterIP 类型的 Service 仅限于供集群内的节点来访问, 而来自集群外的流量无法被路由。解决这个难题的一种方式 …
-
Kubernetes 1.27:kubectl apply 裁剪更安全、更高效
2023.05.09 in 博客
作者: Katrina Verey(独立个人)和 Justin Santa Barbara (Google) 译者: Michael Yao (DaoCloud) 通过 kubectl apply 命令执行声明式配置管理是创建或修改 Kubernetes 资源的黄金标准方法。 但这种方法也带来了一个挑战,那就是删除不再需要的资源。 在 Kubernetes 1.5 版本中,引入了 --prune 标志来解决此问题, 允许 kubectl apply 自动清理从当前配置中删除的先前应用的资源。 …