Kubernetes *

Вчера в блоге облачного провайдера AWS была представлена новая операционная система на базе Linux, предназначенная для запуска контейнеров, — Bottlerocket.



Новый проект позиционируется как «операционная система с открытым кодом, основанная на Linux и созданная для использования в Amazon Web Services с целью запуска контейнеров на виртуальных машинах или железных серверах». Исходный код Bottlerocket доступен на GitHub на условиях свободных лицензий (MIT и Apache 2.0).

DevOps-40: Специальный выпуск!

Добро пожаловать на очередной сбор сообщества DevOps-40, встречу откроет активист сообщества Лев Гончаров, а уже после кофе с печеньками мы подключимся телемостом к ребятам из Флант, которым можно будет задать вопрос по настройке и эксплуатации k8s.

TL;DR: У нашей GitOps-утилиты с открытым кодом werf появилась русскоязычная документация. Она доступна на сайте ru.werf.io.

С 18 по 21 ноября в Сан-Диего (Калифорния, США) проходила масштабная конференция, организованная CNCF (входит в состав The Linux Foundation) и посвящённая Kubernetes и другим связанным технологиям, — KubeCon + CloudNativeCon North America 2019.



Мероприятие, которое на сей раз посетили 12 тысяч человек, было по традиции богато интересными докладами о стремительно растущей Open Source-экосистеме для современных cloud native-приложений, а также и приуроченными к нему анонсами от компаний, развивающих эту экосистему. Именно последним и посвящена новость.

Привет, друзья. Приглашаем на @Kubernetes Conference 29 ноября в Mail.ru Group всех, кто вместе с нами строит экосистему Kubernetes в России — использует, внедряет K8s в Production, создает свои инструменты для работы с ним, ищет пути решения проблем, помогает другим перейти на Kubernetes и работает над распространением знания о нюансах использования технологии.

В программе вас ждут:

• Безопасные сети Kubernetes c eBPF и Cilium. Как глубоко работать с сетью на уровне ядра;
• Интерактив «Helm глазами разработчиков. RollingUpdate Puzzle»;
• Внедрение OpenShift в «Росгосстрахе»: от DevOps до Production-эксплуатации;
• Управление кластером K8s через Cluster API. Как Tinkoff.ru писали свой Infrastructure Provider BareMetal;
• Проект «Платформа». Как мы переводим на Kubernetes сервисы Mail.ru Group;
• Как мы катили K8s в Production eldorado.ru. Наш год американских горок;
• Также вас ждет воркшоп для тех, кто еще только на пути к Kubernetes — «Как запустить ваше приложение в Kubernetes. Деплой, мониторинг, логирование».

Конференция пройдет 29 ноября (пятница) в 14:00 в московском офисе Mail.ru Group (Ленинградский проспект, д. 39, стр. 79). Регистрация обязательна и закрывается 25 ноября в 11:59 утра (или раньше, если закончатся места).

Буквально только что в почтовой рассылке проекта Helm, называемого «пакетным менеджером для Kubernetes», было объявлено о долгожданном стабильном выпуске Helm 3.0.0.

Менее суток назад компания Red Hat объявила об открытии исходного кода проекта Quay. Теперь он доступен на GitHub под свободной лицензией Apache License v2.



Quay — «реестр контейнеров» (container registry), т.е. решение для хранение образов контейнеров и управления ими. Проект появился в уже далёком 2013 году, когда в сообществе столкнулись с необходимостью приватно хранить образы и отсутствием подходящих решений на тот момент.

На прошлой неделе некоммерческая организация CNCF, поддерживающая популярные Open Source-проекты для cloud native-инфраструктуры, объявила об официальном «выпуске» (graduation) Vitess. Это означает, что проект признан достаточно зрелым для использования в production.

Vitess — решение для кластеризации (горизонтального масштабирования) MySQL, обеспечивающее удобный запуск и обслуживание этой СУБД для нужд современных облачных (cloud native) приложений. Проект призван «привнести в MySQL масштабируемость уровня баз данных категории NoSQL», реализуя шардинг с минимальными потребностями к изменениям в самом приложении и упрощая миграцию СУБД в облачную инфраструктуру (и её дальнейшее обслуживание там). Самый простой путь запуска Vitess — его применение в кластерах Kubernetes.

Вчера из блога проекта Helm — так называемого «пакетного менеджера для Kubernetes» — стало известно, что успешно завершён независимый аудит безопасности кодовой базы Helm 3.



Аудит проводился в октябре немецкой компанией Cure53, которая до этого осуществила аналогичную процедуру для других Open Source-проектов CNCF, таких как Prometheus, Envoy, Jaeger и Notary. Как отмечают разработчики Helm, такой аудит является обязательным критерием для того, чтобы проект получил статус выпускника (graduated) в CNCF. Helm пока находится на предыдущем этапе зрелости (incubating) и, по всей видимости, готовится к «повышению» со своей новой крупной версией — v3.

В issues проекта Kubernetes обсуждается потенциально опасная уязвимость в парсере YAML-документов kubectl (на стороне клиента) и API Server (на стороне сервера), которая может привести к разновидности DoS-атак под названием billion laughs.



Для уязвимости уже зарезервирован номер: CVE-2019-11253, — однако детали CVE всё ещё не опубликованы. Широкой общественности о проблеме стало известно в результате обсуждения «YAML-бомбы» для Kubernetes API на Stack Overflow.

Буквально час назад в почтовой рассылке проекта Helm — «пакетного менеджера для Kubernetes» — было объявлено о том, что следующий релиз Helm 2 станет последним, что принесёт какие-либо изменения в его функциональные возможности.

Организация CNCF, стоящая за популярными Open Source-проектами для современной cloud native-инфраструктуры, рассказала об очередной истории успеха с Kubernetes.



Специалисты всемирно известного производителя спортивной обуви и одежды adidas провели миграцию своей инфраструктуры на платформу, основанную на Kubernetes, и пришли к качественно новому циклу выпуска обновлений разрабатываемого в компании программного обеспечения.

В минувший вторник компания Containous представила крупное обновление к своему флагманскому Open Source-продукту — service mesh-решению Traefik — в виде версии 2.0.



Главным новшеством в Traefik 2.0 стало появление поддержки протокола TCP. В случае шифрования по TLS для маршрутизации используются данные SNI (Server Name Indication). Примечательная особенность — возможность работы с entrypoint сразу по двум протоколам: HTTP и TCP — на одном и том же порту. Иллюстрация этой фичи:

Несколько дней назад индийский энтузиаст представил своё детище kubelive как попытку «повторно изобрести kubectl, сделав утилиту более реактивной и интерактивной». Этот анонс с большим энтузиазмом встретили на Reddit.

Kubelive — CLI-утилита, полностью написанная на JavaScript (Node.js) и использующая в своей работе клиентскую библиотеку для Kubernetes, реализованную на TypeScript (@kubernetes/client-node). Основное предназначение нового инструмента — отображать сведения о кластере и его ресурсах в реальном времени, предлагая для этого понятный (консольный) интерфейс.

На этой неделе компания Containous, хорошо известная в сообществе cloud native (Kubernetes и других проектов CNCF) благодаря своему продукту Traefik, анонсировала новое Open Source-решение категории service mesh — Maesh.



Основная идея Maesh сводится к тому, что эта «сервисная сетка» с самого начала создаётся как максимально простая во всём: и в установке, и в использовании.

В конце прошлой недели некоммерческая организация CNCF официально заявила о том, что проект rkt перенесён в архив. Решение было принято на основании результатов соответствующего голосования технического комитета CNCF — Technical Oversight Committee (TOC). Оно стартовало ещё в июле, а его формальный итог (подсчёт голосов) подвели 16 августа.

Американская компания StackRox опубликовала результаты своего недавнего исследования Kubernetes and Container Security and Adoption Trends, которое показало 50%-ный рост популярности Kubernetes среди инструментов для оркестровки контейнеров.