Posts in 2023
-
考虑所有微服务的脆弱性并对其行为进行监控
2023.01.20 in 博客
作者:David Hadas (IBM Research Labs) 译者:Wilson Wu (DaoCloud) 本文对 DevOps 产生的错误安全意识做出提醒。开发和配置微服务时遵循安全最佳实践并不能让微服务不易被攻击。 本文说明,即使所有已部署的微服务都容易被攻击,但仍然可以采取很多措施来确保微服务不被利用。 本文解释了如何从安全角度对客户端和服务的行为进行分析,此处称为 “安全行为分析” , 可以对已部署的易被攻击的微服务进行保护。本文会引用 Guard, 一个开源项目,对假定易被 …
-
使用 PriorityClass 确保你的关键任务 Pod 免遭驱逐
2023.01.12 in 博客
作者:Sunny Bhambhani (InfraCloud Technologies) 译者:Wilson Wu (DaoCloud) Kubernetes 已被广泛使用,许多组织将其用作事实上的编排引擎,用于运行需要频繁被创建和删除的工作负载。 因此,是否能对 Pod 进行合适的调度是确保应用 Pod 在 Kubernetes 集群中正常启动并运行的关键。 本文深入探讨围绕资源管理的使用场景,利用 PriorityClass 对象来保护关键或高优先级 Pod 免遭驱逐并确保应用 Pod 正 …
-
Kubernetes 1.26:PodDisruptionBudget 守护的不健康 Pod 所用的驱逐策略
2023.01.06 in 博客
作者: Filip Křepinský (Red Hat), Morten Torkildsen (Google), Ravi Gudimetla (Apple) 译者: Michael Yao (DaoCloud) 确保对应用的干扰不影响其可用性不是一个简单的任务。 上个月发布的 Kubernetes v1.26 允许针对 PodDisruptionBudget (PDB) 指定不健康 Pod 驱逐策略,这有助于在节点执行管理操作期间保持可用性。 这解决什么问题? API 发起的 Pod 驱 …
-
Kubernetes v1.26:可追溯的默认 StorageClass
2023.01.05 in 博客
作者: Roman Bednář (Red Hat) 译者: Michael Yao (DaoCloud) Kubernetes v1.25 引入了一个 Alpha 特性来更改默认 StorageClass 被分配到 PersistentVolumeClaim (PVC) 的方式。 启用此特性后,你不再需要先创建默认 StorageClass,再创建 PVC 来分配类。 此外,任何未分配 StorageClass 的 PVC 都可以在后续被更新。此特性在 Kubernetes v1.26 中已 …
-
Kubernetes v1.26:对跨名字空间存储数据源的 Alpha 支持
2023.01.02 in 博客
作者: Takafumi Takahashi (Hitachi Vantara) 译者: Michael Yao (DaoCloud) 上个月发布的 Kubernetes v1.26 引入了一个 Alpha 特性,允许你在源数据属于不同的名字空间时为 PersistentVolumeClaim 指定数据源。启用这个新特性后,你在新 PersistentVolumeClaim 的 dataSourceRef 字段中指定名字空间。一旦 Kubernetes 发现访问权限正常, …
Posts in 2022
-
Kubernetes v1.26:Kubernetes 中流量工程的进步
2022.12.30 in 博客
作者:Andrew Sy Kim (Google) 译者:Wilson Wu (DaoCloud) Kubernetes v1.26 在网络流量工程方面取得了重大进展, 两项功能(服务内部流量策略支持和 EndpointSlice 终止状况)升级为正式发布版本, 第三项功能(代理终止端点)升级为 Beta。这些增强功能的结合旨在解决人们目前所面临的流量工程短板,并在未来解锁新的功能。 滚动更新期间负载均衡器的流量丢失 在 Kubernetes v1.26 之前, …
-
Kubernetes v1.26:CPUManager 正式发布
2022.12.27 in 博客
作者: Francesco Romani (Red Hat) 译者: Michael Yao (DaoCloud) CPU 管理器是 kubelet 的一部分;kubelet 是 Kubernetes 的节点代理,能够让用户给容器分配独占 CPU。 CPU 管理器自从 Kubernetes v1.10 进阶至 Beta, 已证明了它本身的可靠性,能够充分胜任将独占 CPU 分配给容器,因此采用率稳步增长, 使其成为性能关键型和低延迟场景的基本组件。随着时间的推移,大多数变更均与错误修复或内部重 …
-
Kubernetes 1.26:Pod 调度就绪态
2022.12.26 in 博客
作者: Wei Huang (Apple), Abdullah Gharaibeh (Google) 译者: XiaoYang Zhang (HuaWei) Kubernetes 1.26 引入了一个新的 Pod 特性:调度门控。 在 Kubernetes 中,调度门控是通知调度器何时可以考虑 Pod 调度的关键。 它解决了什么问题? 当 Pod 被创建时,调度器会不断尝试寻找适合它的节点。这个无限循环一直持续到调度程序为 Pod 找到节点,或者 Pod 被删除。 长时间无法被调度的 Pod( …
-
Kubernetes 1.26: 支持在挂载时将 Pod fsGroup 传递给 CSI 驱动程序
2022.12.23 in 博客
作者: Fabio Bertinatto (Red Hat), Hemant Kumar (Red Hat) 译者: Xin Li (DaoCloud) 将 fsGroup 委托给 CSI 驱动程序管理首先在 Kubernetes 1.22 中作为 Alpha 特性引入, 并在 Kubernetes 1.25 中进阶至 Beta 状态。 对于 Kubernetes 1.26,我们很高兴地宣布此特性已进阶至正式发布(GA)状态。 在此版本中,如果你在 Pod(Linux) …
-
Kubernetes 1.26:设备管理器正式发布
2022.12.19 in 博客
作者: Swati Sehgal (Red Hat) 译者: Jin Li (UOS) 设备插件框架是在 Kubernetes v1.8 版本中引入的,它是一个与供应商无关的框架, 旨在实现对外部设备的发现、公布和分配,而无需修改核心 Kubernetes。 该功能在 v1.10 版本中升级为 Beta 版本。随着 Kubernetes v1.26 的最新发布, 设备管理器现已正式发布(GA)。 在 kubelet 中,设备管理器通过 Unix 套接字使用 gRPC 实现与设备插件的通信。 设 …