Container周报第133期：Line台湾首度公开K8s搭GitOps部署经验，CNCF调查K8s自建率年年提高

10/24~11/24 精选容器新闻

#K8s部署率 #云端原生大调查
CNCF云端大调查：3成企业自建K8s丛集环境

CNCF组织最近公布了2020年云端原生趋势大调查结果，在正式环境使用容器技术的比例增加到了92%，比2016年时高了3倍。正式环境使用K8s的采用率，也从去年的78%，增加到今年的83%。持续整合持续部署CI/CD也成了主流，高达82%填答者在正式环境中建置了CI/CD流程来加快部署效率。需要用到服务网格技术（Service mesh）的企业也增加了，达到27%，比去年多了快5成。这次全球大调查的时间是2020年5、6月，调查样本数达1,324份，填答者过半数来自软件科技公司，近1成是金融业。另有近3成是超过5,000人规模的大企业。填答者来自全球，欧洲38.1%、北美33.5%，更有22.6%填答者来自亚洲。

根据今年调查，今年采用私有云的比例反而提高了，从去年的45%，今年增加到52%，而混合云(公私云并用者)的比例则从去年的38%，今年些微下滑到36%。CNCF认为，关键是Kubernetes和用来跨云调度工作量的云端原生工具的蓬勃发展，降低了企业将工作量跨不同公云环境的调度门槛，不少企业转而采用多云策略，今年有26%企业选择多云策略。

K8s最常见的执行环境是在本机端虚拟机器中执行K8s的Minikube（38%），不过今年自建K8s丛集环境的企业增加了不少，自建比例从去年的23%，今年增加到31%。打包K8s应用的方式超过6成填答者采用Helm格式，只有约1成用K8s托管服务业者所提供的自订格式。最常见的CI/CD工具前三名依序是Jenkins（53%）、GitLab（36%）和GitHub Actions（20%）。最多人导入的服务网格工具前三名则依序是Istio、Linkerd和Consul。

#Line台湾 #K8s导入经验 #GitOps
20个专案K8s实战经验，Line台湾用GitOps强化K8s部署带来3大好处

最近Line台湾SRE团队一位软件工程师Tsai Chih Chiang在自家开发者日活动上，揭露了Line台湾2年来K8s导入成果。Line台湾统计到2020年10月为止，已有超过20个专案导入K8s，包括Line Today、Line购物、Line音乐、Line Spot等，部署了超过50个K8s丛集，130多个App配置。Line导入K8s是为了管理大量云端原生应用，透过微服务、容器和DevOps来建立现代化基础架构，提供扩充性、可移动性和加快开发者上工的环境准备。Line台湾在2018年展开K8s导入，采取“单一丛集部署全部”的策略，不过，针对不同上线阶段的环境，分别在开发、准备前台（Staging）和正式环境各自有自己的一套K8s丛集。K8s调度工具则是使用Rancher，利用Namespaces来隔离不同专案的K8s应用。不过，为了采用K8s，Tsai Chih Chiang指出，主要有6项挑战，包括了欠缺K8s使用思维、K8s知识不足、配套开发者工具、配置档管理、丛集操作太自由、缺乏最佳实务。

后来，Line台湾决定建立GitOps流程，让开发团队更容易运用K8s环境，从容器化、建立基础配置档（Base Config）、不同环境的配置准备到动态同步丛集变动都整合到同一套自动化流程中。

K8s搭配GitOps的作法可以带来三个好处，第一是可以建立单一程式码来源，利用Git储存库来储存各种环境的配置档，来简化YAML档案的管理。第二项好处是开发者友善度高，能让开发者用他们已经熟悉的Git流程，来管理K8s丛集，而Git历史就成了K8s物件或丛集状态的变更日志los记录。最后一个好处是，可以将直接操作K8s丛集的行为最小化，一来丛集状态变更管理更安全、手动操作K8s物件的需求也可以降到最少、所有变动也能经过程式码审查过程，而丛集即时状态自动与各种变更行为的结果同步。Line台湾使用了ArgoCD这套持续派送工具，也搭配Kustomize来管理K8s配置档，还建立了一套标准化的K8s应用共同预设，例如预设建立观察控制器、Ingress控制器等方便快速套用。

#云端资安 #K8s资安
第一份CNCF云端原生资安白皮书出炉

最近CNCF资安工作小组公布了云端原生资安白皮书1.0，可以适用于所有云端原生应用上的一套资安建议，另外也特别考虑到金融、医疗产业、-机关和非营利机构的产业资安考量。虽然K8s用途大多直接用于部署阶段，但这份白皮书涵盖了云端原生应用生命周期的四个阶段，从开发、发布、部署到执行阶段（runtime），在每个阶段提供了可以适用的K8s资安控件建议。例如在开发阶段的资安控件，可以用映像档签章验证，搭配映像档弱点扫描机制。而在发布阶段，则可建立不必要特权权限的预先部署检查，启用日记追踪和观察机制等。另外，白皮书也提供了一个导入云端原生资安的7字口诀RUNTIME路径，先阅读相关资料（Read）、了解自己环境中得挑战和限制（Understand）、记录如何将控件套用到自己的环境（Note），向同事说明自己的观察（Talk）、带动其他人参与（Involve）、依据现有资安控件建立风险档案（Make）、投入资源和时间到适当刀口项目（Expend）。

#服务网格 #多丛集部署
Istio年终最后一次改版，聚焦多丛集网格安装流程的简化

Istio团队依循2020年的发展路线图，释出了今年最后一个版本1.8，这个版本目标在提高可用性、安全性和可靠性，特别是在多丛集网格以及虚拟机器工作负载上。1.8版中，官方编写了新的安装指南，其中包含跨多丛集安装丛集的方法，帮助用户根据安装的环境选择配置。另外，新版也简化了安装过程，现在可以使用istioctl进行安装，新的智慧DNS代理功能，让用户可以从虚拟机器解析网格服务，而不需要把网格服务以不安全的方式，指向丛集DNS服务器，这也减少了丛集DNS流量，并降低解析服务IP需要查询的次数。

#服务网格 #Consul
HashiCorp释出新版Consul，新增视觉化工具要简化服务网格管理

HashiCorp最近释出服务网格工具Consul 1.9新版，可以更容易将宣告式政策套用到不同的跨微服务上，来简化要部署复杂微服务的门槛。新版也提供了一个视觉化工具，可以更容易以一拓朴地图的方式来存取各种服务的请求、错误率等资讯。其他新功能还有新增安装到红帽OpenShift平台，来整合K8s健康状态检查，确保问题流量不会影响到更多Pod。这次改版也减少了Consul服务器使用串流功能时，在CPU和网络带宽的要求。

#etcd #CNCF
分散式键值储存etcd专案跨入成熟发展，CNCF改列为顶级专案

红帽在2018年捐给CNCF的分散式键值储存专案etcd，现在已经从孵化器阶段毕业，进入顶级专案。CNCF官方说明，etcd有稳定的治理流程，功能已达一定成熟度，年中第三方安全审核，没有发现etcd核心元件存在重大问题。CNCF技术长Chris Aniszczyk提到，etcd现在是Kubernetes内部的1个重要元件，许多专案都相依于etcd，以储存分散式资料，因为etcd的规模不断扩大，在安全审核上表现良好，因此委员会决定让etcd从孵化器毕业。

#K0s #精简版部署
一行指令就能安装，更轻量化的Kubernetes精简版k0s来了

云端运算服务供应商Mirantis推出了轻量Kubernetes发布版k0s，该版本强调简单性与强健性，无论是本地端部署，甚至是大规模Kubernetes丛集等，k0s可满足各种工作负载的需求，官方表示，只要复制k0s可执行档到每个主机并且开始执行，就能简单创建Kubernetes丛集。k0s是由Mirantis之前维护开源Pharos Kubernetes发行版的团队所创建，k0s延续Pharos Kubernetes发行版的精神，要支援各种规模和情境的使用案例。k0s是一款百分百上游香草Kubernetes发行版，适用于各种规模的工作负载，并且安装简单，只要一行指令就能完成k0s安装。

#K8s开发工具 #Lens
Mirantis连连强化K8s产品线，自家K8s开发平台开始支援第三方套件

去年并购Docker Enterprise的云端运算服务供应商Mirantis，更新其Kubernetes整合开发环境（IDE）Lens平台，并释出了扩充套件API，让第三方有办法开发Lens扩充套件，在开发环境增加更多样的功能，而Lens生态系成员，也都开始支援新的扩充套件API。Lens是Mirantis在今年8月，才刚收购的开源Kubernetes IDE，下载次数超过百万次。新增加的扩充套件API，提供创建Lens内扩充套件的方法，让第三方可将各种Kubernetes元件和工具集，整合到Lens界面中，可将Lens从Kubernetes IDE，转变成为功能完整的云端原生开发IDE。

#服务网格 #树莓派丛集 #ARM
知名服务网格工具Linkerd释2.9新版，支援自动mTLS和ARM平台，连树莓派丛集都能跑

服务网格专案Linkerd最近释出了最新2.9更新版本，可以对所有TCP连接支援交互TLS（mutual TLS，mTLS），官方提到，自动mTLS是朝向零信任安全的一大步，透过在Pod边界执行加密和身份验证，Linkerd能以零信任的形式，提供加密传输。并且新版也增加对ARM平台的支援，无论开发者是使用基于ARM的机器，像是AWS Graviton，或是在树莓派丛集上执行Linkerd，Linkerd都能提供良好的支援。另外也增加多核心代理Runtime，进而提高单个Pod的吞吐量。

#映像档拉取 #Docker
映像档拉取新政策再转弯，Docker宣布开源专案可以免除次数限制

Docker之前宣布了两项新政策，第一项是删除免费账户中，超过6个月无人取用的映像档，官方提到，在Docker Hub上15 PB映像档，有高达10 PB的映像档，在6个月内未被取用过，而其中又有4.5 PB无效映像档来自免费账户，不过，Docker已经在日前宣布，暂缓新的映像档留存政策直到2021年。第二项已经从11月2日开始逐步实施的政策，是限制免费账户拉取容器映像档的次数，匿名的免费账户每6小时只能拉取映像档100次，经过验证身份的账户，则拉取请求限制放宽至每6小时200个拉取请求。不过，为了支援开源社群，Docker提供了开源专案一项计划，可以让开源专案继续自由存取Docker的服务，不受新政策对使用者的限制，任何提出申请并经核准的开源软件命名空间，没有资料取用限制。

#AWS #公共容器储存库
大抢Docker Hub用户，AWS宣布自己推公共容器储存库服务

由于Docker从11月起将限制免费账号的映像档拉取次数，针对这群用户，AWS也在11月时宣布，将推出公共容器储存库（container registry）服务Amazon Elastic Container Registry。AWS指出，Docker新政策可能对使用Docker Hub公共映像档的应用及工具产生节流错误（throttling error），像是从主映像档（parent image）建立应用，或下载公共映像档执行时，而且也已有许多同为AWS的用户表达疑虑。未来几个星期AWS将推出一个公共容器储存库服务，供开发人员储存、管理、及部署容器映像档，并开放他人下载使用。开发人员可以AWS同时代管私有和公共容器映像档，减少不同网站和储存库的管理麻烦。这些映像档可依地理区复制以方便各地快速下载。这个储存库也允许提供相关档案，如helm图表及政策组态等。此外AWS也将推出一个新网站供任何人搜寻及下载公共映像档用于其自有App中，不论他们有没有AWS账号。

责任编辑／王宏仁 

更多Container相关动态

• Kinvolk推出K8s UI开源专案Headlamp
• K8s自动扩展器KEDA推出2.0，全面升级应用程序扩展能力