Posts in 2023

  • 使用 OCI 工件为 seccomp、SELinux 和 AppArmor 分发安全配置文件

    2023.05.24 in 博客

    作者: Sascha Grunert 译者: Michael Yao (DaoCloud) Security Profiles Operator (SPO) 使得在 Kubernetes 中管理 seccomp、SELinux 和 AppArmor 配置文件变得更加容易。 它允许集群管理员在预定义的自定义资源 YAML 中定义配置文件,然后由 SPO 分发到整个集群中。 安全配置文件的修改和移除也由 Operator 以同样的方式进行管理,但这只是其能力的一小部分。 SPO 的另一个核心特性是 …

    更多

  • 在边缘上玩转 seccomp 配置文件

    2023.05.18 in 博客

    作者: Sascha Grunert 译者: Michael Yao (DaoCloud) [Security Profiles Operator (SPO)][spo] 是一个功能丰富的 Kubernetes [operator][operator], 相比以往可以简化 seccomp、SELinux 和 AppArmor 配置文件的管理。 从头开始记录这些配置文件是该 Operator 的关键特性之一,这通常涉及与大型 CI/CD 系统集成。 在边缘场景中测试 Operator 的记录能力 …

    更多

  • Kubernetes 1.27: KMS V2 进入 Beta 阶段

    2023.05.16 in 博客

    作者: Anish Ramasekar, Mo Khan, and Rita Zhang (Microsoft) 译者: Xin Li (DaoCloud) 在 Kubernetes 1.27 中,我们(SIG Auth)将密钥管理服务(KMS)v2 API 带入 Beta 阶段。 KMS 是什么? 保护 Kubernetes 集群时首先要考虑的事情之一是加密静态的 etcd 数据。 KMS 为供应商提供了一个接口,以便利用存储在外部密钥服务中的密钥来执行此加密。 KMS v1 自 1.10 …

    更多

  • Kubernetes 1.27:关于加快 Pod 启动的进展

    2023.05.15 in 博客

    作者:Paco Xu (DaoCloud), Sergey Kanzhelev (Google), Ruiwen Zhao (Google) 译者:Michael Yao (DaoCloud) 如何在大型集群中加快节点上的 Pod 启动?这是集群管理员可能面临的常见问题。 本篇博文重点介绍了从 kubelet 一侧加快 Pod 启动的方法。它不涉及通过 kube-apiserver 由 controller-manager 创建 Pod 所用的时间, 也不包括 Pod …

    更多

  • Kubernetes 1.27: 原地调整 Pod 资源 (alpha)

    2023.05.12 in 博客

    作者: Vinay Kulkarni (Kubescaler Labs) 译者:Paco Xu (Daocloud) 如果你部署的 Pod 设置了 CPU 或内存资源,你就可能已经注意到更改资源值会导致 Pod 重新启动。 以前,这对于运行的负载来说是一个破坏性的操作。 在 Kubernetes v1.27 中,我们添加了一个新的 alpha 特性,允许用户调整分配给 Pod 的 CPU 和内存资源大小,而无需重新启动容器。 首先,API 层面现在允许修改 Pod 容器中的 resources …

    更多

  • Kubernetes 1.27:为 NodePort Service 分配端口时避免冲突

    2023.05.11 in 博客

    作者: Xu Zhenglun (Alibaba) 译者: Michael Yao (DaoCloud) 在 Kubernetes 中,对于以一组 Pod 运行的应用,Service 可以为其提供统一的流量端点。 客户端可以使用 Service 提供的虚拟 IP 地址(或 VIP)进行访问, Kubernetes 为访问不同的后端 Pod 的流量提供负载均衡能力, 但 ClusterIP 类型的 Service 仅限于供集群内的节点来访问, 而来自集群外的流量无法被路由。解决这个难题的一种方式 …

    更多

  • Kubernetes 1.27:kubectl apply 裁剪更安全、更高效

    2023.05.09 in 博客

    作者: Katrina Verey(独立个人)和 Justin Santa Barbara (Google) 译者: Michael Yao (DaoCloud) 通过 kubectl apply 命令执行声明式配置管理是创建或修改 Kubernetes 资源的黄金标准方法。 但这种方法也带来了一个挑战,那就是删除不再需要的资源。 在 Kubernetes 1.5 版本中,引入了 --prune 标志来解决此问题, 允许 kubectl apply 自动清理从当前配置中删除的先前应用的资源。 …

    更多

  • Kubernetes 1.27:介绍用于磁盘卷组快照的新 API

    2023.05.08 in 博客

    Author: Xing Yang (VMware) 译者: 顾欣 磁盘卷组快照在 Kubernetes v1.27 中作为 Alpha 特性被引入。 此特性引入了一个 Kubernetes API,允许用户对多个卷进行快照,以保证在发生故障时数据的一致性。 它使用标签选择器来将多个 PersistentVolumeClaims (持久卷申领)分组以进行快照。 这个新特性仅支持 CSI 卷驱动器。 磁盘卷组快照概述 一些存储系统提供了创建多个卷的崩溃一致性快照的能力。 卷组快照表示在同一时间点 …

    更多

  • Kubernetes 1.27:内存资源的服务质量(QoS)Alpha

    2023.05.05 in 博客

    作者:Dixita Narang (Google) 译者:Wilson Wu (DaoCloud) Kubernetes v1.27 于 2023 年 4 月发布,引入了对内存 QoS(Alpha)的更改,用于提高 Linux 节点中的内存管理功能。 对内存 QoS 的支持最初是在 Kubernetes v1.22 中添加的,后来发现了关于计算 memory.high 公式的一些不足。 这些不足在 Kubernetes v1.27 中得到解决。 背景 Kubernetes 允许你在 Pod 规 …

    更多

  • Kubernetes 1.27: StatefulSet PVC 自动删除(beta)

    2023.05.04 in 博客

    作者:Matthew Cary (Google) 译者:顾欣 (ICBC) Kubernetes v1.27 将一种新的策略机制升级到 Beta 阶段,这一策略用于控制 StatefulSets 的 PersistentVolumeClaims(PVCs)的生命周期。 这种新的 PVC 保留策略允许用户指定当删除 StatefulSet 或者缩减 StatefulSet 中的副本时, 是自动删除还是保留从 StatefulSet 规约模板生成的 PVC。 所解决的问题 StatefulSet …

    更多