2024/1/15~2/16 精选容器新闻
去年K8s释出1.29新版后,公云业者陆续开始在今年初开始支援,包括Google云的GKE和AWS的EKS,都从今年初开始提供新版。K8s维运的成本控管问题,越来越复杂,K8s成本专案OpenCost的发起者Kubecost也推出了新版产品,除了支援超大规模K8s的成本追踪之外,还开始运用AI,来预测K8s丛集未来特定日期范围的成本,让企业评估上云费用的未来负担。另一则值得注意的是VMware改订阅制和套餐卖法之后,最近公布了停止供应的产品清单,多达59项产品不再单卖或下架了。
#Cilium #K8s网管
荷兰第二大银行用Cilium建立每月16亿次API呼叫的零信任网路控管
Rabobank是荷兰第二大银行,全球员工近4万人,开发团队超过400个。他们有一个5人小组的API平台团队,最近用CIlium打造了一套API控管机制,可以建立一个FQDN的网路控管政策,来实现零信任网路,而不用网路IP位址,来控管这上百个开发团队所用的各种API。他们的基础架构环境包括了两套K8s平台,一个是在云端的AKS丛集,另一个则是在本地端运作的OpenShift丛集,来支援超过400个团队所用的API平台的运作,每个月的API呼叫次数超过16亿次。原本他们使用了Azure的CNI来控管网路层,但是K8s的网路政策只支援IP列表的控管,尤其许多API在云端执行时,IP经常会动态变化。要靠IP控管,来建立自动化作业、维护或故障排除,都相当麻烦。
后来,他们改用Azure的客制化CNI,搭配Cilium来建立FQDN的白名单网路政策的控管,只需提供网域清单,而不用IP位址,也能全自动进行网路过滤条件的异动,来落实零信任网路政策的要求。另外,Robobank也启用了Cilium的Hubble可观察性功能,来监控API的网路流量。
#容器调度、#K8s
K8s年度效能报告出炉,4成企业容器调度能力更准确不容易过量
这是K8s维运管理顾问公司Fairwinds第四年公布K8s效能报告,今年他们追踪了来自上百家企业,多33万个K8s工作量的维运情况。有几项发现,近4成企业过半容器工作量,用了适量的容器规模来实行,这意味著企业的容器利用率,比过去更好。这四成企业更清楚来如过调度合适的容器数量,来符合他们想要的AP执行效能,而不会过度配置。去年多达44%企业,7成工作量都会开启Root权限,但今年,企业更谨慎控管,下滑到只有30%企业如此。大量容器规模调度用特权提升的企业也减少了15%,更多企业倚赖预先配置的政策或规则来自动调度。
不过,过时的容器映像档逐渐成为企业的挑战,今年近半数企业有9成工作量都会遇到容器映像档过时问题。另外也有3成企业他们的容器工作量9成发生映像档漏洞问题,去年只有1成企业有同样的灾情。这容器映像档的维护和安全更新,成了企业基础架构维运越来越重要的课题。
#Cilium、#OpenTelemetry
CNCF公布2023年最活跃的云原生社群,K8s、OpenTelemetry和Cilium名列前三
在今年初时,CNCF公布了2023年最活跃的开源云原生专案排名,K8s专案向来都是第一名,去年仍有高达3,569名贡献者,送出4万多次程式码更新。活跃度名列第二的是OpenTelemetry专案,随著可观察性需求越来越高,这个云原生开可观察性框架的发展也越来越蓬勃,去年高达1467名贡献者,送出近2万次程式码更新。活跃度名列第三的是另一个网路可观察性专案Cilium,虽然这个专案只有443名贡献者,不到OpenTelemetry专案的三分之一,但在去年也送出了1万5千次程式码更新,甚至可以说,平均每位贡献者的积极程度,比第二名的专案还要高。值得注意的是,API管理平台Argo专案(896人)和开发者平台专案Backstage(602人)的贡献者规模,分别名列第三、四名,这是两个参与者越来越多的专案。
#FinOps、#OpenCost
K8s成本工具大升级,Kubecost新版能用AI预测用户支出
K8s成本工具服务商Kubecost推出2.0新版,这是以他们开源捐给CNCF的OpenCost为核心,所打造的同名K8s成本管理工具,新版不只大幅提高了后端API的效能,能以视觉化呈现所有流量的成本,还可以用AI来预测使用者的K8s支出。
2.0 新的API后端大幅提升效能100倍,处理大规模Kubernetes环境的时候,可以更灵敏地操作Kubecost API和UI,现在可以查询3年以上的历史资料,以获得更长时间的资源利用率趋势,进行更全面的决策和分析。Kubecost网路监控现在可以提供Pod、命名空间、丛集和云端服务的成本可见性,以接近即时的速度,视觉化呈现基础设施中任一部分的成本。透过AI分析历史Kubernetes和云端资料,可以提供准确的预测成本波动,也能预测未来特定日期范围的支出成本。
#Hyper-V、#新版Windows Server
Windows Server 2025释出第一个预览版本,聚焦四大类功能强化
微软最近释出了下一版的伺服器作业系统Windows Server 2025预览版,将强化四大类功能,包括了更简单的热更新机制,不用重新开机就能更新修补程式。新版也将推出了新一代AD和SMB机制,像是SMB over QUIC,让用户可选择是要透过TCP、RDMA或QUIC等传输协定来连结SMB伺服器,过去只有Windows Server Azure版支援更安全的QUIC,现在不管是资料中心或是标准版都支援它。另外也会针对关键任务的资料和储存需求强化,还会强化Hyper-V对AI的支援,例如可以让多个虚拟机器共享一颗CPU的资源,Hyper-V也会提高NVMe的支援,例如强化IOPs,支援NVme over Fabirc等。新的按量付费订阅估能也会成为2025的选项之一。
目前Windows Server正式版是微软在2021年8月推出的Windows Server 2022,至于下一代的Windows Server 2025正式版,则预计于今年8月发行。
#GKE、#重大漏洞修补
Google紧急修补GKE重大风险漏洞,资安业者估计高达25万个GKE受影响
资安厂商Orca Security发现在1月底发布了一项GKE的重大风险漏洞,可让任何具有Google帐号的攻击者接管配置不当的Kubernetes丛集,进而进行挖矿、阻断服务攻击,以及窃取敏感资料等恶意行为。Google已释出更新,呼吁管理员升级GKE。
资安业者称为Sys:All漏洞。在GKE中的system: authenticated群组不单连结验证过及关键用户的帐号角色,还包含所有Google有效帐号(包括外部人士)。不知情的GKE管理员会因此为这个群组指派过大角色权限,而让外部人士有机可趁,外部人士可以利用自己的Google OAUth 2.0 bearer token,进行侦察、滥用等恶意活动。Orca Security扫瞄网路发现,25万个GKE丛集都有该漏洞,其中数百个丛集内的存取资讯,能让攻击者在受害环境中横向移动及存取敏感资讯。
#VMware、#vSphere
59项产品受影响!VMware公布停止供应的产品清单
随著VMware转为订阅制后,许多独立产品也精简为套装组合,只提供VMware Cloud Foundation(VCF)和VMware vSphere Foundation(VVF)两个新产品,作为订阅软体提供。哪些产品受到影响?VMware官方在1月底时,