KubeCon2019 三大感想

 

刚刚闭幕的KubeCon和CloudNativeCon有12000名参会者，Kubernetes的吸引力再次得到了证明，但笔者想说说自己的三点感想。

一、对于初学者来说，Kubernetes仍然过于复杂

就参与者来说，超过一半的与会者是第一次参加会议。一方面，大量的新鲜血液是健康社区的标志。另一方面，就像第一次参加会议的顾问兼行业分析师Keith Townsend所言：“我毫不害羞地说，我不知道主题演讲都讲了什么。我理解一些单词和概念，但总的来说我找不到方向，而且几乎没有什么IT话题。”

企业发行版有助于通过对组件进行选择，并将云本地生态系统打包成更易使用的形式来降低复杂性。

在服务网格、无服务器、策略、监控、可视化等领域，有很多快速的变化。一部分原因是，以容器为中心的云原生计算重新考虑了许多传统的、更以服务器为中心的计算模型。

因此，我们看到了新的项目和方法正在不断地替换来自以服务器为中心的世界的软件。当然，这伴随着可预见的失误和反复学习。

这些对于提高计算机基础设施的技术水平来说是一件好事，各个相关社区需要更加努力地为那些刚刚跟上的人提供更可行的学习之道。

 

二、现在还不是应用程序的问题

暂且不论复杂性，在进入2020年时，我们应该对计算基础设施应该如何运作有一个相对完整的愿景。当然，细节会改变，未来几年我们可能会看到重要的新概念被引入，尽管基本的新基础设施模式已经成型。

在应用程序方面可能的变化更少。我们有像微服务这样的概念，有一些新的语言，比如Go，是在云计算环境中诞生的。然而，从应用程序开发人员的角度来看，我们仍然在使用一些工具编写大量的代码，这些工具并没有直接嵌入云原生所有的新兴模式。

在一些应用程序方面的确取得了进展。例如，服务网格通过从应用程序开发人员手中移除相关职责来处理服务之间的安全通信问题。然而，总的来说，与创建基础设施相比，在帮助开发人员更好、更快地编写云原生应用程序（不需要高级编程技能）方面做出的努力似乎要少得多。

这在KubeCon有所体现。关于KubeCon是不是一个完全的基础设施会议存在争议，但它显然不是一个真正针对应用程序开发人员的会议。

 

三、安全是用户关心的一个重要问题

安全分会比以往任何一次都多，安全供应商也多。一个由Liz Rice（Aqua Security开源工程副总裁）、Michael Ducy（Sysdig社区总监）、Sabree Blackmon（Docker前高级安全工程师）、Gareth Rushgrove（Snyk产品管理总监）以及Maya Kaczorowski（谷歌安全团队产品经理）组成的云原生安全小组指出，人们对安全性非常感兴趣。不过，同时也是CNCF安全特别兴趣组成员的Rushgrove表示，大多数人感兴趣的是相当基础的主题，比如图像扫描和通用自动化。

围绕Kubernetes的安全性已经做了大量工作，但还有很多工作要做。

其中一个领域涉及default。在Kubernetes这样的项目中，和许多项目一样，有时有一些默认设置可能使项目更易于采用或使用，但从安全角度来看，它们不是最佳实践。Kaczorowski说，我们需要考虑将默认设置更加锁定。

另一个安全主题是策略管理。开放策略代理（OPA）是一个旨在简化安全策略的工具（如用于可信执行环境的Enarx）。正如Open Policy Agent（OPA）站点所说，“OPA已被用于跨堆栈的多个层跨多个不同域启用软件策略：容器管理（Kubernetes）、服务器（Linux）、公有云基础设施（Terraform）和微服务API（Istio、Linkerd、CloudFoundry）。”

OPA的策略语言Rego“能够在不需要对语言进行任何更改或扩展的情况下，对所有这些不同的域和堆栈层有效。”

Rego允许你编写逻辑来搜索和组合来自不同来源的JSON/YAML数据，以提出诸如“是否允许此API？”的问题。

这对开发人员意味着什么？OPA网站指出：“关键是，当你作为一个作者考虑服务器、容器或API时，Rego只看到JSON/YAML数据。”

该小组注意到，虽然策略管理工具已经到位，但许多实际的策略尚未编写。更先进的网络策略和跨分布式集群的策略是接下来的重点领域。

最后，小组成员重申，人们仍然错误地理解了许多安全方面的基础知识。人们不考虑软件供应链，运行从不可信来源下载的镜像，以用户身份运行容器，或者不当使用权限。许多开发人员对安全性相当陌生。可以说，“安全人员并不理解Kubernetes。”

小组的结论是，这个领域的产品需要更加可靠，让不成熟的用户也能采用良好的安全实践。