【要闻】VMware的双重身份曝光、Kubernetes 1.18发布

作为Kubernetes供应商，你该认识一下VMware的两面性

2020年3月中旬，VMware宣布正式发布与Kubernetes相关的产品“ VMware Tanzu”。对于不使用VMware服务器虚拟化基础架构的用户组织，这是否有意义？

VMware利益相关者在本公告中描述了VMware对Kubernetes的承诺：“虽然新版本的VMware vSphere和VMware Cloud Foundation（旗舰产品）进行了许多重大改进，但将稍后讨论这两种产品。VMware将vSphere和Cloud Foundation转变为可直接与虚拟机和容器混合使用的平台，从而使其客户能够进入``以容器为中心，服务器虚拟化‘’的世界。毫无疑问，他正在做准备。那这只是一个防御性举动吗？

作为Kubernetes供应商的VMware至少有两个方面：Kubernetes分销供应商和Kubernetes集成运营管理服务供应商。

详情阅读：

https://www.atmarkit.co.jp/ait/articles/2003/26/news030.html

Kubernetes 1.18发布 调试集群Pod更轻松

Kubernetes项目于2020年3月25日发布了Kubernetes 1.18。主题是“适合并就绪”。新版本总共具有38个增强功能。正如Kubernetes 1.18所强调的那样，公告博客中提到了kubectl调试 ，Kubernetes拓扑管理器 ，服务器端应用，入口和Windows CSI支持。通过将kubectl debug命令添加到kubectl，您可以轻松调试集群中的Pod。此命令使您可以在正在运行的Pod旁边运行一个临时容器并进行调试。拓扑管理器是一个实用程序，可以链接诸如CPU和SR-IOV VF之类的设备的资源分配。过去，CPU Manager和Device Manager彼此独立地做出资源分配决策，从而导致多插槽系统中低延迟应用程序的性能较差。拓扑管理器现在已经进入测试阶段。服务器端Apply在服务器端执行差异计算，以使用kubectl apply创建和更新对象。这在1.18移至β2。新版本跟踪并管理所有新Kubernetes对象的字段中的更改，因此您可以查看更改的内容和时间。

在PathType字段中，IngressClass资源已添加到Ingress，负责从群集外部到群集内部的HTTP / HTTPS路由/负载平衡。通过添加pathType字段，现在除了路径匹配方法的默认ImplementationSpecific类型之外，还可以指定Exact类型和Prefix类型。此外，已不推荐使用kubernetes.io/ingress.class并由ingressClassName字段和IngressClass资源代替。出现了Windows版CSI代理的alpha版本。CSI代理允许未特权（预先批准）的容器在Windows上执行特权存储操作。现在可以使用CSI代理在Windows上支持CSI驱动程序。

Azure若超载，微软将优先分配新云端资源给紧急服务

新冠状病毒（COVID-19）疫情蔓延，许多企业藉提高云端服务的采用率，来调整自家的工作方式，也促使了云端需求持续成长。微软近日发布了一份云端资源分配的优先顺序名单，以此建立明确的规範标準，来因应未来可能发生的资源超载情况。Azure若于任何云端地区发生资源不足的情况，微软将依照该名单依序分配新资源，确保用户的作业不受影响，最优先使用资源的用户是第一线救护人员，包含医疗人员、消防人员等，其次是政府关键基础设施，再来是远距工作用户。微软强调，这个优先分配政策将只套用在Azure新的云端资源，塬有的资源将不会受影响。此外，微软已启动更严密的监控机制，于资料中心现场全天候监控效能，确保Azure云端服务维持正常运作，并在政府和医疗单位有新的紧急服务需求时，尽快提供支持。

用户数过多，Microsoft Teams服务再中断约2小时

许多企业在家上班防疫，使得远距协作需求大幅成长，协作应用面临了使用量暴增的挑战。微软远距协作工具Microsoft Teams疑似因用户数过多，近期发生一连串服务中断的事件，其中，3月16日的断线问题先是发生在疫情最严重的欧洲，后扩大至美国，接着，亚洲也有用户回报服务异常。故障发生后，微软透过Microsoft 365推特帐号证实，Teams出现通讯相关的功能问题，已启动调查。

根据监控网站Downdetector的用户通报纪录，许多用户反映连线品质不佳，甚至完全卡住，更有66%的用户反映伺服器连线问题，此外，有用户则遭遇无法分享萤幕、传送讯息等问题。美国东部时间当日中午11点左右，该中断事件的影响达到高峰，共有610件故障通报，而整起事件的主要影响，歷时约2小时。

Azure美国中西部地区因电力事故，导致服务中断逾6小时

微软Azure的美国中西部云端地区，于当地时间3月16日下午3点半，发生服务故障事件，主因是该地区的天气出现灾害性冰暴。故障期间，几乎所有的Azure服务都出现了储存或连线的问题，且持续长达逾4个小时。微软于事故后发布了一份调查分析报告，说明事件的起因。微软表示，该地区的一场冰暴导致当地的主要和备用电力设备都发生电力中断，儘管，资料中心已即时转采发电机的电力，但仍因一部分的发电机出现故障，而造成多个机架完全失去电力，影响了租用这些机架的用户，使用云端资源。

为排除故障，资料中心现场的工程师以手动的方式，恢復受影响的基础设施的电力，同时，微软针对受影响的Azure服务，启动灾难復塬计画，以排除断电造成的问题。微软表示，正着手检查相关维运控制系统，确保系统可识别故障的发生点，还有确认电气硬体设备零件的可用性，确保他们的功能正常。

调查：79%的大型企业今年将导公云，近7成CIO担心遭业者绑定

Flexera日前发布了一份2020年CIO调查报告，针对全球逾2千名员工规模的企业，共302位CIO进行问卷调查。根据调查，所有技术中，公有云采用率最高，高达79%的CIO计画于今年使用公有云服务，其中39%的企业更将大量采用，其次是AI，72%的CIO于调查中回覆已有采用AI的计画，接着依序为70%企业有采私有云的计画，而63%的企业则有采多云的计画。针对网路安全性的疑虑，云端技术也位居所有项目之冠，有84%的企业认为云端资安是重中之重，其中有47%的企业属于高度疑虑者。此外，有68%的企业在采用公有云的规画上，担心被业者锁死（lock-in），其中有36%的企业属于高度疑虑者。与其他项目相比，公有云虽非CIO最担忧被业者锁死的技术或产品，但在高度疑虑者的比例上，公有云的占比则位居所有项目之冠。

白宫串联美国云端巨头和学界贡献运算资源，汇集77万CPU资源来研发疫情解方

白宫在3月23日宣布，与IBM共同成立COVID-19高效能运算联盟（COVID-19 High Performance Computing Consortium），要集结美国各大企业和机构的运算能力，来加快病毒研究的脚步。这个联盟由白宫、美国能源部和IBM发起，将集结政府、业界、学界各方自愿贡献的运算资源，政府有橡树岭国家实验室、NASA等研究单位，企业包含AWS、Google、微软和HPE，学界则有麻省理工学院和壬色列理工学院，目前共有16家机构参与，他们将提供330 petaflops、77.5万个CPU核心和3.4万个GPU。研究新冠状病毒（COVID-19）的人员可向XSEDE提交研究专案，说明研究目的以及所需的运算资源，若通过审核，XSEDE将会分配适当的资源，以供研究，让他们可快速投入专案。

锁定第一线人员的办公需求，微软推出Microsoft 365新的入门方案

锁定各个产业第一线员工的办公需求，微软日前宣布，将推出全新的Microsoft 365入门低阶方案F1。该新方案聚焦的用户为在第一线工作，没有办公桌的企业人员，他们多半直接面对企业的客户，从事服务性质的工作，新方案将提供他们Microsoft Teams、SharePoint、 Yammer、Stream和Enterprise Security + Management，而授权费用为每位用户每月4美元。新F1方案将取代既有的F1方案，而塬本的F1方案则将改名为F3，这个方案相较新F1增加了Windows支持、Power Apps等功能，授权费用为每位用户每月10美元。新F1方案将于4月1日正式推出，而旧F1则会在同个时间改名为F3。

使用量暴增，Microsoft Teams调整非必要的功能来因应

因使用量大幅成长，3月份至今，Microsoft Teams已发生6次故障事件。对此，微软于3月19日透过Office 365 Admin讯息中心宣布，将缩减该工具的部分功能，以确保整体服务的稳定性。微软预计降低用户上线状态的检查频率，还有拉长用户打字状态的显示时间间隔，以及调整影像通话解析度等。

微软表示，3月上旬Microsoft Teams的每日用户数从3，400万名增加到4，400万名，成长了35%。虽然微软已强化基础架构，不过，过去一个月来，该协同工具仍发生多起伺服器连线以及服务登入的异常事件，使其须采取其他因应措施，包含了这一波暂时调整多项非必要的功能。微软强调，这一系列的调整不会大幅影响用户的使用经验，且一旦使用情况有新的变化，会更新调整的措施。

新加坡将开源用来抗疫的TraceTogether技术

新加坡外交部长维文（Vivian Balakrishnan）本周宣布，该国政府准备开源防疫之用的TraceTogether底层技术，以让各国政府或开发人员也能够打造这类防疫应用，追查到与新冠状病毒确诊患者近距离接触的民众，协助抑制疫情的散布。

TraceTogether采用的技术，是由新加坡数位服务部门所研发的蓝牙追踪（BlueTrace）协定，它以蓝牙相对讯号强度指标（RSSI），来蒐集与纪录两个装置之间的近距离接触与时间，相关资讯在手机上的储存时间为21天。

另一方面，新加坡政府会依据所建立的新冠状病毒确诊患者资料库，追查在过去14天，曾与这些患者近距离接触的民众，再提出警告。

为了避免危害使用者的隐私，TraceTogether并不会蒐集手机的位置资讯，且所蒐集的资料只存放在手机上，而且是加密的；除非使用者曾与确诊者近距离接触，否则政府单位永远不会存取手机上的资料。

此外，在两支手机互换资讯时，彼此间是以随机的ID进行通讯，并未涉及任何身分资讯；电话号码与ID的配对资讯则是存放在另一伺服器上，只有在必要时才会被存取。

新加坡表示，不管是新冠状病毒或其它病毒都是没有疆界的，现在国际间大量的旅行活动，已建造一个全球化的世界，任何分散式的联繫与追踪解决方案，也都需要被大量采用，才能发挥其最大效用。因此，他们正马不停蹄地製作BlueTrace协定的参考文件与实作，并准备将它开源，以让其它国家也能打造自己的TraceTogether程式。

Kubernetes推出了1.18版本，重点是稳定性

流行的容器编排平台Kubernetes的开发人员刚刚发布了1.18版本，这是今年的第一个版本。

该版本被评价为为“适应+就绪”，这表明它比以前的版本更像是一个完整的产品。

Kubernetes 1.18发布团队在博客文章中写道：“为提高Beta和稳定功能以确保用户获得更好的体验，已经进行了大量工作。” “我们付出了同等的努力来增加新的开发和令人兴奋的新功能，这些承诺有望进一步增强用户体验。”

这些稳定的功能之一是广泛使用的Kubernetes命令行工具kubectl，该工具现在具有调试实用程序。根据用户的要求添加了该功能，它是通过旋转在生产容器旁边运行的临时克隆容器来工作的。该实用程序还附加到控制台，以启用交互式故障排除。

在其他地方，Serverside Apply已达到其第二个Beta，允许用户跟踪和管理所有新Kubernetes对象的所有字段。从本质上讲，这意味着用户现在可以跟踪谁对其Kubernetes资源进行了任何更改以及何时进行了更改。

对于Windows Kubernetes用户，他们很高兴看到1.18版本附带Windows CSI支持，此举使非特权或预先批准的容器能够执行特权存储操作。

另一个更新与Kubernetes的新拓扑管理器有关。以前，Kubernetes系统的处理器和设备管理器将单独分配资源，而无需相互协商。Kubernetes团队说，这项新功能解决了这一问题，并允许工作负载在“针对低延迟进行了优化的环境中”运行。

新版本几乎没有出现，但Canonical Ltd.已经推出了该平台的最新商业版本。该公司表示将在整个产品系列中为Kubernetes提供支持，包括Charmed Kubernetes，kubeadm和MicroK8s。

Linux Kernel 5.6-rc7 发布

在新冠病毒爆发期间，Linus Torvalds 宣布了 Linux 5.6 的第七个每周候选版本，即 Linux Kernel 5.6-rc7 的发布。作为一个小更新，rc7 并未带来较大的变化。Linus Torvalds 在发布公告中评论称，尽管 Linux 5.6-rc7 可能经历了一段奇怪的时期，但 Linux 5.6 内核的开发却看起来很正常。

“我们周围的世界可能正在经历陌生的时代，但至少到目前为止，内核开发看起来很正常。与往常一样，Linux Kernet 5.6-rc7 的更新主要集中在驱动程序上，包括 gpu、mmc、staging、iio、usb、音频，针对 VM 的修复和 Arch 的一些更新/文档/工具（主要是 turbostat）等。”

Torvalds 表示， “没有什么真正脱颖而出的，它们都很小。我将保持乐观，并说这是因为我们可以正常地平静释放病毒，但是显然这可能有部分是因为每个人都被病毒的困扰分散了注意力。但是在内核方面，我还没有看到任何令人担忧的事情。”

Fedora 32 Beta发布 正式版将于4月底推出

Fedora 32 Beta 现已发布，该版本的亮点内容如下：Fedora 32 Workstation Beta 中的新增功能默认情况下启用 EarlyOOM。EarlyOOM 使用户可以在低内存情况下通过大量交换使用来更快地恢复并重新获得对系统的控制。Fedora 32 Workstation Beta 在默认情况下还启用了 fs.trim 计时器，从而提高了固态驱动器的性能和损耗平衡。Fedora 32 Workstation Beta 包含 GNOME 桌面环境的最新版本 GNOME 3.36。有关 GNOME 3.36 要点的完整列表，请参见发行说明。

支付宝自研数据库OceanBase全球开放！淘汰甲骨文

支付宝官方宣布，自研的金融级分布式数据库OceanBase正式通过阿里云向全球开放，能提供高可用、高性能、低成本的计算服务，企业可在云上获得“支付宝同款”的世界顶级数据库处理能力。

数据库和操作系统一样，是IT行业的重要基础软件，也是“核高基”中的“基础软件产品”之一，但是多年来，我国企业长期依赖于国外数据库技术，尤其是Oracle甲骨文，成为一座难以逾越的大山。

据了解，阿里巴巴、支付宝2010年起开始自主研发数据库系统OceanBase，目标就是来取代甲骨文等传统数据库。

2016年，OceanBase在支付宝核心系统中全面替换甲骨文，支撑几亿人随时随地网购、移动支付，2019年双11活动期间又创造了6100万次/秒的数据库处理峰值。

麒麟软件斥资百亿打造三大自主操作系统

2020年，国产OS操作系统的春天来了，除了诚迈科技与深度合并打造的UOS系统之外，中国电子旗下的中标麒麟、天津麒麟也合体为麒麟软件。

3月20日，麒麟软件还宣布了未来5年的发展路线图，推出了“遨天”计划，目标是在5年后发展成为一家规模超过1万人的大型软件公司，为此投资超过100亿元，打造桌面与服务器操作系统、云操作系统、嵌入式操作系统三大产品。

中国电子党组成员、副总经理陈锡明接受记者采访时表态：“中国电子在对中标麒麟和银河麒麟进行整合时，最主要的就是围绕操作系统的核心和关键技术，进行研发力量的整合。把双方的技术人员放在一起，再根据操作系统发展规划重新进行组织，并且按照这个计划增加更多的研发投入。”

3 月全球 Web 服务器调查报告：nginx 域名份额首超 Apache

Netcraft 公司官网每月公布的全球 Web 服务器调查报告“Web Server Survey”是当前人们了解全球网站数量以及服务器市场分额情况的主要参考依据，2020 年 3 月份的报告目前已经发布。

3 月份报告共收录了 1 263 025 546 个站点数据，包括 257 194 796 个独立域名和 9 659 223 个面向 Web 的计算机。

其中微软和 nginx 域名总数在 3 月都有增长，nginx 获得了 484 万个域名（增长 7.2％），并将其市场份额提高了 1.6 个百分点至 28.1％，而微软获得了 21.5 万个域名。

nginx 在域名市场份额方面首次超过 Apache，超出了 136 000个域名，但是在活跃站点方面还是 Apache 领先，尽管其 3 月失掉了 225 000 个活跃站点，但 Apache 的市场份额仍比 nginx 领先 8.21 个百分点。Apache 在面向 Web 的计算机方面也处于领先地位，尽管与 nginx 相比仅占 3.17%。

其它方面，Google 丢失了 115 000 个域名，但获得了 510 000 个活跃站点，而 Oracle 丢失了 27 800 个域名和 22 200 个活跃站点。二者在域名市场份额都达不到百分之一，Google 占有 0.87％（-0.06 个百分点），Oracle 占有 0.22％（-0.01 个百分点）。

自从 12 月以来，Cloudflare 每月获得近 200 万个域名，但现在其快速增长也有所放缓，3 月仅增加了 714 929 个域名。

开源项目的名称背后都有哪些故事？

名称 “Ansible” 直接来自科幻小说。Ursula Le Guin 的著作《罗坎农的世界》（Rocannon‘s World）中， 有一种设备允许即时（比光速更快）通信，它被称为 ansible（从 “answerable” 一词派生）。Ansible 也成为了科幻小说的构成要素，包括在 Orson Scott Card 的《安德的游戏》（Ender’s Game）中，该设备远程控制了许多太空飞船。对于控制分布式机器的软件来说，这似乎是一个很好的模型，因此 Ansible 的创建者 Michael DeHaan 借用了这个名字。

Apache

Apache 是一个开源的 Web 服务器，最初于 1995 年发布。它是指对原始软件代码重复的补丁，“A-patchy server”（一个补丁服务器）。

Bash

最初的 Unix shell，即 Bourne shell，以其创建者命名。在开发 Bash 时，csh（发音为“seashell”）实际上在交互式用户登录中更为流行。Bash 项目旨在通过使其更适合交互使用来使 Bourne shell 焕然一新，因此它被称为 “Bourne Again shell”，是对 “Born Again”（重生）的双关语。

C

早期有一个称为 BCPL（基本组合编程语言）的编程系统， AT&T 的 Thompson 创建了一个简化的 BCPL 版本，称为 B。但是 B 不那么灵活。然后 Ritchie 接受了 B 的想法，并将其扩展为一种称为 C 的编译语言。

Emacs

经典的 anti-vi 编辑器，其名称的真正词源并不明显，因为它源自 “Editing MACroS”（编辑宏）。它拥有许多恶作剧式的解读，例如 “Escape Meta Alt Control Shift”（用来调侃其对键盘的严重依赖）， “Eight Megabytes And Constantly Swapping”（调侃它很吃内存） 和 “Eventually malloc（）s All Computer Storage”（最终分配了计算机所有的储存空间）等等。

GNOME

根据维基百科上的说法，GNOME 最初是一个缩写，代表 “GNU Network Object Model Environment”（GNU 网络对象模型环境）。现在，该名称不再代表该项目，并且已被删除，但名称仍然存在。

Java

Java 最初被称为 Oak，但该名称因现有商标而被否决。传说该语言的工作组在 1995 年 1 月进行了一次大规模的头脑风暴。他们还起过很多其他名称，包括 Silk、DNA、WebDancer 等。团队不希望新名称与过度使用的术语 “web” 或 “net” 有任何关系。最终，Java 更符合他们“具有动态感”、“有趣”且“易于记忆”的要求。

Jupyter

许多数据研究者都会用到 Jupyter notebook。Jupyter 的名称是其使用的三种开源语言的组合，这些语言在数据科学中非常重要：Julia、Python 和 R。

Kubernetes

Kubernetes 源自希腊语中的“舵手”。该项目创始人 Craig McLuckie 想坚持航海主题，他解释说，技术驱动容器，就像舵手或飞行员驾驶容器船一样。有趣的是，它和英语单词 “governor” 具有相同的词源，与蒸汽机上的机械负反馈装置一样。

KDE

KDE 最初代表 “Kool Desktop Environment”（Kool 桌面环境）。它由 Matthias Ettrich 于 1996 年创立。

Linux

Linux 因其创始人 Linus Torvalds 而得名。Linus 最初想将他的作品命名为 “Freax”，因为他认为以自己的名字命名太过自负。但 Torvalds 的同事，当时是 FTP 服务器志愿管理员之一的 Ari Lemmke，不认为 Freax 是个好名字。因此，他在未咨询 Torvalds 的情况下，在服务器上将项目命名为 “Linux”。

以下还有一些受欢迎的 Linux 发行版：

CentOS

CentOS 是 Community Enterprise Operating System（社区企业操作系统）的缩写。

Debian

创建于 1993 年 9 月的 Debian Linux，名字来源于创始人 Ian Murdock 和他当时的女友 Debra Lynn。

RHEL

Red Hat Linux 得名于创始人 Marc Ewing，因为他戴着祖父给的红色康奈尔大学软呢帽。

Ubuntu

Ubuntu 旨在广泛地共享开源，它以非洲 ubuntu 哲学的名字命名。Ubuntu 可以翻译为“对他人的人性”。

Nginx

该名称实际上应该被读作 “EngineX”，指功能强大的 web 服务器，就像引擎（engine）一样。

Python

Python 的创建者 Guido Van Rossum 是喜剧团 Monty Python 的粉丝，Python 的名称也由此而来。

Raspberry Pi

在 70 年代和 80 年代，以水果命名的计算机是一种流行的趋势，Apple、Tangerine、Apricot 等等。Raspberry Pi 正是对这一趋势的致敬。树莓虽小，味道却很浓郁。名称中的 “Pi” 暗含着这样一个事实：最初，计算机只能运行 Python。

Zsh

Zsh 是一个交互式登录 shell。1990 年，普林斯顿大学的学生 Paul Falstad 编写了第一个版本。他在看到普林斯顿大学助教 Zhong Sha（zsh）的登录 ID 后，觉得这听起来像是一个好名字，于是直接用来对其进行了命名。

除此之外，还有很多其他有趣的项目名称，你还了解哪些？可以在评论中与大家一同分享。

既然上了Kubernetes的船，你的安全策略是不是也变变？

如今，几乎每家公司都在某种程度上在使用软件，数字化转型和采用云技术不仅具有战略意义，而且对于企业成功至关重要。无论公司是生于云中还是刚开始涉足云中，重要的是要知道基于防火墙的网络分段的传统安全实践在这个新领域中不再可靠。

实际上，由于云基础架构，虚拟私有云网络和云原生应用程序，以及构建、交付和运行这些应用程序的众多利益相关者的规模和弹性，使传统防火墙的有效性最小化了。随着越来越多的公司将其软件转换为基于微服务的体系结构并在Kubernetes中协调其容器化应用程序，分布式安全控制成为必须。

在云环境中，特别是在Kubernetes中，威胁和风险模型应该考虑运行组件内部已经存在的威胁。包括导入使用的流氓软件库或来自不受信任来源的容器映像。

与开放平台的本地技术甚至专有的基于虚拟机的平台相比，Kubernetes具有可靠的本地安全控制。Kubernetes提供了灵活的身份验证机制，用于授权的成熟的基于角色的访问控制（RBAC），对流程运行方式的细粒度控制，在将其纳入Kubernetes集群之前对资源进行验证以及自适应Pod（共置容器）东西向网络分段。

就减少和限制攻击面，限制从一个组件到另一个组件的迁移能力，数据的泄漏以及其他形式的横向移动而言，实现细粒度的微服务网格具有重大影响。

不可否认，微分段的最大挑战之一是随着时间的推移对其进行管理。从Kubernetes v1.8开始，以下本地网络策略API通常可用：

•默认情况下，Kubernetes工作负载（pod）不是隔离的；Pod接受来自任何来源的流量，并且Pod允许将流量发送到任何目的地。

•Kubernetes网络策略语义仅启用东西向（集群内部）分段，并指定无类域间路由（CIDR）块。它在策略语法中不支持域名（或域通配符）。

•Kubernetes NetworkPolicy通过指定如何允许Pod组与彼此以及其他网络端点（CIDR）通信来捕获应用程序意图。

•Kubernetes NetworkPolicy资源使用标签来选择Pod，并定义规则以指定允许对所选Pod进行哪些通信。

•Kubernetes容器网络接口（CNI）插件必须支持网络策略API，才能启用网络策略实施。一些流行的插件选择包括Calico和Flannel，以及利用云服务提供商虚拟私有云（VPC）网络的云提供商CNI插件。所有推荐的插件都可以在Kubernetes文档中找到。

马上，您可以设置一个简单的策略来拒绝默认打开范式，并关闭您的Pod来阻止流量，这就是拒绝所有的策略，也称为黑名单。将Pod列入黑名单会拒绝所有往返其他Pod的流量。最佳做法是将所有Pod列入黑名单，然后设置其他网络策略以根据需要显式允许Pod之间进行通信，也称为白名单。您可以使用默认的全部拒绝策略来执行此操作，该策略会将名称空间的默认值更改为拒绝所有未列入白名单的流量。

可以通过特殊资源注释的形式来控制负载均衡器和第7层代理（Kubernetes Ingress）允许将哪些流量源（网络块）引入集群的其他网络安全配置。这种配置以特殊标签的形式出现，这些标签由Kubernetes云控制器使用，Kubernetes之间的粘合层以及集群运行所在的基础平台。云控制器根据那些特殊注释对基础VPC网络安全配置以及负载均衡器进行编程。

但，这还不够。

尽管这似乎是健康的网络安全控制措施，但Kubernetes的本机控制措施还不够：

•在主机网络上运行的工作负载（主机）不受主机网络上配置的任何网络策略的约束。

•Kubernetes政策是可加性的，并且遵循白名单方法。它在网络策略规则中缺少丢弃动作的非常基本的语义。白名单扩展可以通过第三方工具和Calico等开源项目来实现。

•需要访问群集外部资源的工作负载由无法在其出口路径上分段的域端点（例如数据库或SaaS服务（如Slack））表示。

•Kubernetes本机控件未解决基于身份的访问控件，并且需要基于边车的代理来建立此类控件。

•Kubernetes基础设施不公开策略违规统计信息或日志，这意味着不存在入侵检测和防御系统所依赖的内容。

•默认情况下，群集中的每个Pod都将打开域名系统（DNS），即Kubernetes的基础服务发现。这意味着诸如DNS隧道传输和滥用DNS协议固有漏洞之类的渗透方法需要进行专门的网络安全分析，以检测异常和威胁。

Kubernetes仍然相对较新，学习曲线也很陡。你要了解，Kubernetes默认情况下是开放的。您可以采取一些步骤，以保护您的云原生应用程序并防止不必要的流量。有了这种了解，您就可以更改默认值并控制流经您的应用程序的流量。

Aerospike首次发布Aerospike云

下一代实时NoSQL数据解决方案商Aerospike 近日宣布了Aerospike Cloud的首次亮相，使客户能够构建、管理和自动化Aerospike数据库即服务（DBaaS）。Aerospike Cloud基于云原生（CNCF）标准，企业正在迅速采用该标准，以简化跨任何共有或私有云环境的云应用程序的部署、编排、管理、警报和监视。Aerospike Cloud将于2020年第二季度上市。

根据Gartner的研究，到2022年，所有数据库的75％将部署或迁移到云平台。Aerospike的云战略旨在帮助客户避免公有云供应商的锁定，并最大程度地减少在混合云和多云环境中迁移工作负载的复杂性和成本。

Aerospike首席产品官兼创始人Srini Srinivasan表示：“ Aerospike Cloud为我们的客户提供了作为DBaaS解决方案来部署和管理Aerospike的基础。“基于当今许多客户在其基础架构和应用程序中使用的CNCF基础，Aerospike Cloud采用基于标准的方法，可轻松将Aerospike集成到任何公司的整体云环境中。”

Aerospike Cloud的第一版针对在Google Cloud Platform（GCP）上的Google Kubernetes引擎（GKE）中运行的工作负载进行了优化，并包括以下功能：

Kubernetes运营：Kubernetes API的特定于Aerospike的自定义扩展，封装了操作领域的知识，例如向上，向下，集群配置管理和升级。

Helm Charts：使用Helm Charts管理器（CNCF孵化项目）在Kubernetes环境中部署Aerospike集群。

Prometheus：通过Aerospike Enterprise Edition和Alertmanager配置的自定义导出器，与CNCF分级的监视和警报解决方案集成。

Grafana：通过Aerospike EE Prometheus出口商的自定义仪表板，与CNCF成员Grafana Labs的开源可视化平台集成。

Snap Inc.的工程副总裁Nima Khajehnouri说：“ Kubernetes是我们Google Cloud数据基础架构的关键组成部分。AerospikeCloud的发行版和Aerospike对CNCF标准的支持符合我们的战略，以寻找简化部署的方法，可在任何云环境中操作和管理多个工作负载。”

Kong宣布4月16日举行容器和微服务线上公开课

云连接公司Kong 近日宣布了Destination：Decentralization 2020，这是一个免费的为期一天的数字会议，将于4月16日星期四（太平洋夏令时间上午9点至下午8点/ BST下午2点至下午1点）举行。随着采用基于容器和微服务的应用程序成为主流，所有软件体系结构都注定要分散化。该事件适用于那些对从“构建和运行应用程序”过渡到“构建和运行整个分布式架构”过渡的过程感到好奇的人。

如果您有兴趣了解更多信息或打算讨论去中心化架构，例如采用微服务和Kubernetes的经验教训，或者构建、部署、保护或管理未来软件所需的知识，不妨可以参与该活动。

Kong公司表示，鉴于最近由于COVID-19大流行而被取消或推迟的会议，我们很高兴举办这个免费的数字活动，它将聚集设计未来的分布式软件体系结构和应用程序的专家。作为一个开源社区，共享信息并联系最新的发展和突破是我们的工作如此有意义的原因。通过这次数字活动，Kong希望回馈并帮助建立这些联系在这段空前的时间里培养友情。

在一个突发事件发生的世界中，采用整体方法来设计和管理分布式系统变得越来越重要。

Kong很高兴与AWS，Castle，CNCF，Datadog，Giant Swarm，Honeycomb.io，Mirantis，NS1，SIGHUP，Snyk，The New Stack和Zebrium合作，共同举办此次活动。

Portshift宣布推出Kubei容器运行时扫描软件

云原生工作负载保护服务商Portshift近日推出了Kubei开源容器扫描软件。Kubei是独特的开源Kubernetes运行时图像扫描解决方案，旨在邀请开发人员协作以强化运行时环境。Kubei识别建造了哪些POD从易受攻击的映像中捕获或包含新发现的漏洞，然后将Kubernetes信息与漏洞数据结合使用，以快速轻松地进行修复。

传统上，容器扫描解决方案已用于检测CI / CD开发管道或图像注册表中的漏洞。这种方法缺乏观察在图像扫描过程之前创建的运行中的POD的能力。

Portshift的开放源代码项目将其技术引入了广泛的DevOps / SRE团队社区，这些团队参与了容器的部署-编排，管理和安全。使用Kubei，在运行时扫描容器可确保Kubernetes集群的强大安全性。

Kubei是DevOps / SRE专业人员的功能强大的新解决方案，它仅扫描在运行时部署的映像，其中还包括非注册映像的扫描。它取代了扫描整个图像注册表的需要，该注册表包含许多未使用的不同版本和/或图像。该解决方案易于操作，并且不需要与CI / CD管道工具集成。与Kubei：

该解决方案仅扫描已部署的映像。它提供了准确，实时的风险评估，从而节省了时间和资源，以进行离线扫描。

将扫描群集中的所有运行时映像，包括非注册表映像（无论是否来自CI / CD），从而为组织提供了额外的安全层。

新解决方案的关键功能包括一键式容器配置以及在受管理的所有Kubernetes集群中发现运行时漏洞。数分钟之内，Kubei便用操作视图总结并描述了运行时部署中存在的所有漏洞。

这样，DevOps将立即知道哪些容器存在漏洞，这些漏洞在哪里存在（图像，Pod，容器和名称空间），以及需要修补或替换的内容。

“随着DevOps在快速交付和IT支持的功能创新方面继续受到欢迎，对安全性的担忧日益增加。安全和风险管理领导者必须在DevOps工具链中采用安全工具，流程和策略，而不会减慢开发和发布过程，” Gartner在一份题为“将安全集成到DevSecOps工具链中”的报告中说。

“随着Kubei的发布，Portshift协助DevOps维护开发时间表，按需提供便捷的访问和快速扫描运行时（相关）图像，” Portshift联合创始人兼研发副总裁Zohar Kaufman说。“开放源代码工具将Kubernetes信息与漏洞数据结合在一起，除了数据外还包括上下文，以实时更清晰地了解Kubernetes漏洞。”

Azure安全中心现在可以监视Azure Kubernetes服务容器

微软本周宣布，Azure安全中心管理门户现在可与Azure Kubernetes服务（AKS）一起使用，以确保在Linux系统或虚拟机上运行的Docker容器的安全性。

容器是由Docker开发的一种操作系统虚拟化方法，对于托管应用程序来说是有利的，因为它消除了应用程序和配置冲突的可能性。基于Google培育的Kubernetes数据中心解决方案，AKS是Microsoft的数据中心群集上的容器编排服务。Azure安全中心是一个软件仪表板，用于监视公共云服务，本地工作负载和所谓的“混合”或混合方案的安全性。

容器安全对于组织而言可能不是最重要的事情，但是Microsoft辩称“防御容器化应用程序的攻击面需要专业知识，以确保安全配置基础结构并持续监视潜在威胁。”

为此，根据Microsoft关于“安全中心中的容器安全性”的文档，Azure安全中心提供了针对容器的运行时保护，漏洞管理和环境强化。

使用Qualys的扫描服务可以对容器进行漏洞扫描。当推送新的容器映像时会发生这种情况。运行图像并在“隔离的沙箱”中对其进行扫描。

“容器安全”文档解释说：“当推送新图像时，安全中心将使用行业领先的漏洞扫描供应商Qualys的扫描仪来扫描图像。”

Azure安全中心还通过将容器与“ Internet安全中心（CIS）Docker Benchmark”进行比较来检查容器的配置。但是，Microsoft在脚注中解释说，这些基准检查“将不会在AKS管理的实例或Databricks管理的VM上运行”。

要将Azure Security Center用于AKS管理的容器，组织将需要具有“标准层” Azure Security Center许可，该许可增加了漏洞扫描功能。

集成解决方案的用户可以在Azure安全中心中同时获得容器托管警报和AKS警报。更多详细信息在Microsoft的“ Azure Kubernetes服务与安全中心集成”文档登录页面中进行了描述。

Quarkus 1.3 Kubernetes Java框架更新发布

由于人们非常关注本月Java 14的发布，因此很容易错过Quarkus的最新更新，Quarkus是去年推出的Kubernetes原生Java框架Red Hat。

Quarkus 1.3不是主要版本，但它具有一些重要的基础结构调整和不错的错误修复列表。

当然，Quarkus是一种轻量级的高性能框架，旨在减少Java应用程序的占用空间和延迟，特别是针对微服务，容器和无服务器等云原生架构。它是针对GraalVM和HotSpot JVM量身定制的，将对命令式编程模型的支持与对同一平台中的云本机，事件驱动，异步和响应式模型的支持结合在一起。

以下是Quarkus 1.3中的一些更改：

新的类加载器基础结构：此更改修复了一些结构性问题。《类加载参考指南》中有很多详细信息。

Vert.x：现在只有一个Vert.x实例可以处理Quarkus中的所有内容，而不是两个。进行了更改以减少资源消耗。

标语：默认情况下，启动Quarkus时现在显示ASCII艺术标语。可以自定义，为给定项目禁用它，以及全局禁用它。

新的反应式编程API：称为Mutiny，它取代了Axle和Reactive Streams运算符模型（Reactive Streams和CompletionStage）。先前的模型仍然可以使用，但是已过时，将被删除。

轻松部署到Kubernetes或OpenShift：Kubernetes扩展已经过全面改进，现在使用户能够轻松地将Quarkus应用程序部署到Kubernetes或OpenShift。

Eclipse MicroProfile 3.3规范：SmallRye扩展已更新，以实现Eclipse MicroProfile 3.3。Quarkus 1.1在1月与MicroProfile 3.2兼容。Quarkus 1.3还通过了所有Eclipse MicroProfile 3.3规范的TCK。

默认HTTP读取超时：此版本中已添加了配置HTTP读取超时（通过quarkus.http.read-timeout）的功能。它的默认值为on分钟。

Spring兼容性层：Spring兼容性层现在基于精简的工件，这些工件仅包括必要的API和注释，而不包括完整的Spring jar。

Hibernate ORM：今后将禁用通过字节码增强的自动关联管理。通过将quarkus.hibernate-orm.second-level-caching-enabled配置属性设置为false，可以禁用第二级缓存。

对GraalVM 20.0的支持：此版本支持GraalVM 19.3.1，JDK 8。GraalVM 19.3.1，JDK 11; GraalVM 20.0.0，JDK 8; GraalVM 20.0.0，JDK 11。

Swift 5.2改进编译器诊断功能，提供用户更有用的错误讯息

Apple自家力推的程序语言Swift发布了5.2版本，这个版本的更新重点，摆在改进开发者的体验，包括改善编译器诊断讯息以及程序码完成功能，也增加了除错器的可靠性，同时也改善了Swift套件管理器处理相依性的方法。

官方在这个Swift更新版，大幅提高Swift编译器错误讯息的品质和準确性。过去编译器会试图透过分解表达式，在子表达式中搜寻错误，以猜测错误的正确位置，官方解释，这个方法对于只利用子表达式，而无需父表达式资讯，就能搜寻到的错误才有用，对于其他种类的程序开发错误是无效的。

而由于编译器在遭遇到错误的时候，会遗留一些小线索，这些线索可以让编译器产生更準确的诊断讯息，因此从Swift 5.2开始，编译器现在会正确的指出发生错误的程序码位置，并且提供可供修正的讯息，而不会像是在Swift 5.1中，错译讯息可能含有错误的行数等误导资讯，增加开发者除错困难。

Swift 5.2的程序码完成功能也获得改进，官方减少了不必要的类型检查步骤，因而使程序码完成功能执行速度提升，在较大的档案中，新版速度为Xcode 11.3.1版本的1.2到1.6倍，还能在不完整的字典字面常数（Dictionary literal）以及不完整的三元表示式，提供隐式成员的名字。而出现在结果中的类型也更容易阅读，必要情况才会列出父类型。

在所有支援的平台，Swift除错器LLDB的运作现在可靠许多。由于除错资讯的重建类型讯息现在更具弹性，使得除错器可以使用更多关于Swift类型的资讯。值得注意的是，LLDB也可以从DWARF除错资讯中导入C和Objective-C类型，而不需要从原始码编译Clang模组。预设情况下，当传统Clang模组导入失败时，这个配置将会作为备用路径。

Swift 5.2中的套件管理器，现在不会解析仅在测试目标中使用的套件相依项目，因而提高了执行效能，同时还减少相依项目衝突的可能性，而且套件管理器现在使用一种新的策略来解析套件相依性，明显提升错误讯息的品质，以及复杂套件图中的效能。