Posts in 2024
Kubernetes 的十年
By Bob Killen (CNCF), Chris Short (AWS), Frederico Muñoz (SAS), Kaslin Fields (Google), Tim Bannister (The Scale Factory), 以及全球的每一位贡献者 | 2024.06.06 in 博客
十年前的 2014 年 6 月 6 日,Kubernetes 的第一次提交被推送到 GitHub。 第一次提交包含了 250 个文件和 47,501 行的 Go、Bash 和 Markdown 代码, 开启了我们今天所拥有的项目。谁能预测到 10 年后,Kubernetes 会成长为迄今为止最大的开源项目之一, 拥有来自超过 8,000 家公司、来自 44 个国家的 88,000 名贡献者。 这一里程碑不仅属于 Kubernetes,也属于由此蓬勃发展的云原生生态系统。 在 CNCF 本身就有 …
完成 Kubernetes 史上最大规模迁移
By Andrew Sy Kim (Google), Michelle Au (Google), Walter Fender (Google), Michael McCune (Red Hat) | 2024.05.20 in 博客
早自 Kubernetes v1.7 起,Kubernetes 项目就开始追求取消集成内置云驱动 (KEP-2395)。 虽然这些集成对于 Kubernetes 的早期发展和增长发挥了重要作用,但它们的移除是由两个关键因素驱动的: 为各云启动维护数百万行 Go 代码的原生支持所带来的日趋增长的复杂度,以及将 Kubernetes 打造为真正的供应商中立平台的愿景。 历经很多发布版本之后,我们很高兴地宣布所有云驱动集成组件已被成功地从核心 Kubernetes 仓库迁移到外部插件中。 除了实现我 …
Gateway API v1.1:服务网格、GRPCRoute 和更多变化
By Richard Belleville (Google), Frank Budinsky (IBM), Arko Dasgupta (Tetrate), Flynn (Buoyant), Candace Holman (Red Hat), John Howard (Solo.io), Christine Kim (Isovalent), Mattia Lavacca (Kong), Keith Mattix (Microsoft), Mike Morris (Microsoft), Rob Scott (Google), Grant Spence (Red Hat), Shane Utt (Kong), Gina Yeh (Google), 和其他评审及发布说明的贡献者 | 2024.05.09 in 博客
继去年十月正式发布 Gateway API 之后,Kubernetes SIG Network 现在又很高兴地宣布 Gateway API v1.1 版本发布。 在本次发布中,有几个特性已进阶至标准渠道(GA),特别是对服务网格和 GRPCRoute 的支持也已进阶。 我们还引入了一些新的实验性特性,包括会话持久性和客户端证书验证。 新内容 进阶至标准渠道 本次发布有四个备受期待的特性进阶至标准渠道。这意味着它们不再是实验性的概念; 包含在标准发布渠道中的举措展现了大家对 API 接口的高度信 …
Kubernetes 1.30:防止未经授权的卷模式转换进阶到 GA
2024.04.30 in 博客
作者: Raunak Pradip Shah (Mirantis) 译者: Xin Li (DaoCloud) 随着 Kubernetes 1.30 的发布,防止修改从 Kubernetes 集群中现有 VolumeSnapshot 创建的 PersistentVolumeClaim 的卷模式的特性已被升级至 GA! 问题 PersistentVolumeClaim 的卷模式 是指存储设备上的底层卷是被格式化为某文件系统还是作为原始块设备呈现给使用它的 Pod。 …
Kubernetes 1.30:结构化身份认证配置进阶至 Beta
By Anish Ramasekar (Microsoft) | 2024.04.25 in 博客
在 Kubernetes 1.30 中,我们(SIG Auth)将结构化身份认证配置(Structured Authentication Configuration)进阶至 Beta。 今天的文章是关于身份认证:找出谁在执行任务,核查他们是否是自己所说的那个人。 本文还述及 Kubernetes v1.30 中关于 鉴权(决定某些人能访问什么,不能访问什么)的新内容。 动机 Kubernetes 长期以来都需要一个更灵活、更好扩展的身份认证系统。 当前的系统虽然强大,但有一些限制,使其难以用在 …
Kubernetes 1.30:验证准入策略 ValidatingAdmissionPolicy 正式发布
By Jiahui Feng (Google) | 2024.04.24 in 博客
我代表 Kubernetes 项目组成员,很高兴地宣布 ValidatingAdmissionPolicy 已经作为 Kubernetes 1.30 发布的一部分正式发布。 如果你还不了解这个全新的声明式验证准入 Webhook 的替代方案, 请参阅有关这个新特性的上一篇博文。 如果你已经对 ValidatingAdmissionPolicy 有所了解并且想要尝试一下,那么现在是最好的时机。 让我们替换一个简单的 Webhook,体验一下 ValidatingAdmissionPolicy。 …
Kubernetes 1.30:只读卷挂载终于可以真正实现只读了
2024.04.23 in 博客
作者: Akihiro Suda (NTT) 译者: Xin Li (DaoCloud) 只读卷挂载从一开始就是 Kubernetes 的一个特性。 令人惊讶的是,在 Linux 上的某些条件下,只读挂载并不是完全只读的。 从 v1.30 版本开始,这类卷挂载可以被处理为完全只读;v1.30 为递归只读挂载提供 Alpha 支持。 默认情况下,只读卷装载并不是真正的只读 卷挂载可能看似复杂。 你可能期望以下清单使容器中 /mnt 下的所有内容变为只读: --- apiVersion: v1 …
Kubernetes 1.30:对 Pod 使用用户命名空间的支持进阶至 Beta
By Rodrigo Campos Catelin (Microsoft), Giuseppe Scrivano (Red Hat), Sascha Grunert (Red Hat) | 2024.04.22 in 博客
Linux 提供了不同的命名空间来将进程彼此隔离。 例如,一个典型的 Kubernetes Pod 运行在一个网络命名空间中可以隔离网络身份,运行在一个 PID 命名空间中可以隔离进程。 Linux 有一个以前一直未被容器化应用所支持的命名空间是用户命名空间。 这个命名空间允许我们将容器内使用的用户标识符和组标识符(UID 和 GID)与主机上的标识符隔离开来。 这是一个强大的抽象,允许我们以 “root” 身份运行容器: 我们在容器内部有 root 权限,可以在 Pod 内执行所有 root …
SIG Architecture 特别报道:代码组织
2024.04.11 in 博客
作者: Frederico Muñoz (SAS Institute) 译者: Xin Li (DaoCloud) 这是 SIG Architecture Spotlight 系列的第三次采访,该系列将涵盖不同的子项目。 我们将介绍 SIG Architecture:代码组织。 在本次 SIG Architecture 聚焦中,我与代码组织子项目的成员 Madhav Jivrajani(VMware)进行了交谈。 介绍代码组织子项目 Frederico (FSM):你好,Madhav,感谢你百 …
Kubernetes v1.30 初探
2024.03.12 in 博客
作者: Amit Dsouza, Frederick Kautz, Kristin Martin, Abigail McCarthy, Natali Vlatko 译者: Paco Xu (DaoCloud) 快速预览:Kubernetes v1.30 中令人兴奋的变化 新年新版本,v1.30 发布周期已过半,我们将迎来一系列有趣且令人兴奋的增强功能。 从全新的 alpha 特性,到已有的特性升级为稳定版,再到期待已久的改进,这个版本对每个人都有值得关注的内容! 为了让你在正式发布之前对其有所 …