云原生周刊：Kubernetes v1.29 新特性一览

开源项目推荐

kubedog

Kubedog 是一个用于在 CI/CD 部署管道中监视和跟踪 Kubernetes 资源的库。

这个库被用于 werf CI/CD 工具中，在部署过程中跟踪资源。

RunWhen Local

runwhen-local 是一个工具，用于在本地环境中运行 runwhen 脚本。runwhen 是一个灵活的任务调度工具，可以根据条件和时间表来执行任务。通过 runwhen-local，开发者可以在本地测试和调试 runwhen 脚本，以确保其正确运行。

KubeGateway

kube-gateway 是字节跳动内部管理海量 kubernetes 集群的最佳实践。它是为 kube-apiserver 的 HTTP2 流量专门设计并定制的七层负载均衡代理。目标是为海量的大规模 kubernetes 集群（千级 node 以上）提供灵活的稳定的流量治理方案。

flannel

Flannel 是为 Kubernetes 设计的一种简单且易于配置的第三层网络结构的解决方案。

文章推荐

Kubernetes v1.29 新特性一览

这篇文章介绍了 Kubernetes v1.29 版本的新特性。该版本包含了 49 个主要的更新，其中有 19 个增强功能进入 Alpha 阶段，19 个升级到 Beta 阶段，还有 11 个升级到稳定版。

文章重点介绍了两个重要的特性：基于 CEL 的 CRD 规则校验和为动态和静态分配预留 NodePort 端口范围。基于 CEL 的 CRD 规则校验是一种在 CRD 声明中编写校验规则的方式，简化了开发和维护成本。而为动态和静态分配预留 NodePort 端口范围的特性解决了在创建 NodePort 时可能产生的端口冲突问题。总体而言，Kubernetes v1.29 版本的新特性为用户提供了更好的功能扩展和更可靠的输入校验。

[Kubernetes：Pod 和 WorkerNodes – 控制 Pod 在节点上的放置

](https://rtfm.co.ua/en/kubernetes-pods-and-workernodes-control-the-placement-of-the-pods-on-the-nodes/)

这篇文章介绍了在 Kubernetes 中如何控制 Pods 在 WorkerNodes 上的部署位置。它提供了四种主要的方法来实现这种控制：

配置节点
Taints 和 Tolerations
配置 Pod 本身
Pod 亲和性和反亲和性

此外，文章还提到了 Pod 拓扑分布约束（Pod Topology Spread Constraints），即根据失败域（regions、可用区或节点）的规则来放置 Pod。

文章还提供了一些使用 kubectl explain 命令来查看相关参数和资源文档的技巧。

ArgoCD：多租户策略

这篇文章介绍了使用 ArgoCD 实现多租户策略的方法。在使用 ArgoCD 时，通常会允许所有用户自由操作，直到进入生产环境后才意识到某个人通过删除应用程序而删除了命名空间或 CRD。为了解决这个问题，需要使用访问控制和多租户策略。文章详细介绍了如何利用 ArgoCD 的原生功能实现多租户策略，并提供了一个示例来演示如何在大型组织中使用企业敏捷框架（例如 SAFe）来实施。文章还讨论了 ArgoCD 中的 AppProject、RBAC 和命名空间等概念，以及如何配置和使用它们来实现多租户策略。最后，文章提供了一个具体的示例，展示了如何根据团队和项目的需求来配置 AppProject 和 RBAC。

云原生动态

Kyverno 完成第三方安全审计

Kyverno 项目宣布完成了第三方安全审计。该审计是由 Ada Logics 与 Kyverno 维护人员、开源技术改进基金合作进行，由 CNCF 资助。

该安全审计是一个全面的安全审计，有以下四个目标：

为 Kyverno 定义一个正式的威胁模型。
对代码进行手动安全漏洞审计。
根据威胁模型评估 Kyverno 的模糊测试套件。
针对 SLSA 评估 Kyverno 的供应链风险。

本文由博客一文多发平台 OpenWrite 发布！