云原生爱好者周刊：你对 K8s 集群升级有信心吗？

开源项目推荐

GoNoGo

在 Kubernetes 集群中，有多种因素会影响到附加组件的升级成功率，比如某些组件只支持特定的 API 或者特定的 Kubernetes 版本，某些组件废弃了特定的 annotation。GoNoGo 这个项目可以创建一个关于升级检查的规范，你可以通过这个规范来检查要升级的版本，以此来获得升级成功的自信指数。

wordpress-wasm

这个项目通过 WebAssembly（WASM）和 Emscripten（WebAssembly 的一个开源编译工具链）实现了直接在浏览器中运行 Wordpress，无需 PHP 服务。

mirrord

mirrord 可以让你的本地应用直接对接到 Kubernetes 中，看起来就像是直接运行在 Kubernetes 中一样，但实际上不需要部署到 Kubernetes 中。提供 VS Code 插件与 IntelliJ 插件。

文章推荐

使用 KubeEdge 和 EdgeMesh 实现边缘复杂网络场景下的节点通信

KubeEdge 是面向边缘计算场景、专为边云协同设计的业界首个云原生边缘计算框架，完整打通了边缘计算中云、边、设备协同的场景。EdgeMesh 的定位是 KubeEdge 用户数据面轻量化的通讯组件，完成节点之间网络的 Mesh，为用户 KubeEdge 集群中的容器应用提供与 K8s Service 一致的服务发现与流量转发体验。本文介绍了如何使用 KubeEdge 和 EdgeMesh 实现边缘复杂网络场景下的节点通信。

在 KubeSphere 中部署高可用 Redis 集群

Redis 是在开发过程中经常用到的缓存中间件，在生产环境中为了考虑稳定性和高可用性一般采用集群模式的部署。常规部署在虚拟机上的方式配置繁琐并且需要手动重启节点，而使用 K8s 部署有很多优势，比如安装便捷，缩扩容方便，稳定高效等等。本文介绍了如何在 KubeSphere 中部署高可用 Redis 集群。

云原生动态

SPIFFE 和 SPIRE 项目从 CNCF 孵化器毕业

日前，CNCF 宣布 SPIFFE 和 SPIRE 项目从孵化器毕业。至此，共有 18 个项目毕业。

SPIFFE（面向所有人的安全生产身份框架，Secure Production Identity Framework For Everyone）为现代生产环境中的每个工作负载提供了安全身份，消除了共享机密的需要，并为更高级别的平台无关安全控制奠定了基础。SPIRE（SPIFFE 运行时环境， SPIFFE Runtime Environment）是在各种平台上实现 SPIFFE 规范的代码，并为身份的发布实施多因素证明。

Kubernetes 1.25：应用滚动上线所用的两个特性进入稳定阶段

SIG Apps 宣布两个特性在 Kubernetes 1.25 进入稳定阶段，即用于 StatefulSet 的 minReadySeconds 以及用于 DaemonSet 的 maxSurge。

当 .spec.updateStrategy 字段设置为 RollingUpdate 时， 你可以设置 minReadySeconds， 通过让每个 Pod 等待一段预期时间来减缓 StatefulSet 的滚动上线。

当 .spec.updateStrategy 字段设置为 RollingUpdate 时，maxSurge 允许 DaemonSet 工作负载在滚动上线期间在一个节点上运行同一 Pod 的多个实例。 这有助于将 DaemonSet 的停机时间降到最低。

CVE-2022-3172：聚合 API 服务器可能导致客户端被重定向

在 kube-apiserver 中发现了一个安全问题，该问题允许聚合 API 服务器将客户端流量重定向到任何 URL。这可能导致客户端执行意外操作以及将客户端的 API 服务器凭据转发给第三方。

此问题已被评为中等，并分配了 CVE-2022-3172。

开源威胁检测工具 Falco 增加了对 Google gVisor 的支持

最新版本的 Falco 引入了对 gVisor 的支持，这是 Google 的应用程序内核，在应用程序和主机操作系统之间提供了一个额外的隔离层。使用 Falco 0.32.1 用户可以监控来自 gVisor 的安全事件，以检测威胁和审计容器。

在 0.32.1 版本之前，Falco 无法与 gVisor 沙箱一起使用，因为 gVisor 在用户空间运行时事件到达底层操作系统之前会对其进行拦截。这阻止了 Falco 通过内核模块或 eBPF 探针监控运行时系统调用。

本文由博客一文多发平台 OpenWrite 发布！