「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。
Trivy v0.17 正式发布
Trivy 是一款由 Aqua Security 开源的镜像漏洞安全扫描程序,在之前的周报中我已经介绍过它很多次了,特别方便使用!(吃我安利!)本周 Trivy 发布了 v0.17 版本,我们一起来看看本次值得关注的变更。
破坏性变更
Trivy 在之前的版本中,允许为 --skip-dirs
参数通过逗号(,)分割,设定多个目录。自此版本中,将遵循大多数软件的默认行为,通过多次传递--skip-dirs
来传递多个值,每个参数只处理一个目录。
v0.17 版本之前:
trivy image --skip-dirs "/usr/lib/ruby/gems,/etc" fluent/fluentd:edge
v0.17 版本及之后:
trivy image --skip-dirs /usr/lib/ruby/gems --skip-dirs "/etc" fluent/fluentd:edge
如果有在使用此特性的小伙伴,在升级时需要格外注意!以免影响到自己的工作流.
新增特性
-
可以支持 Go 二进制文件扫描了。主要实现方式可以参考我之前写的文章《逆向 Go 二进制文件,获取其依赖信息》
-
可以支持 JAVA 相关归档文件的漏洞扫描了,比如 JAR,WAR 和 EAR 等格式。 但请注意: 此功能目前无法在离线环境中使用 ,需要发送 HTTP 请求以便拿到更多信息。所以如果网络环境较差,可能此过程会耗时久一些,可以通过增加
--timeout
参数来控制超时时间。 -
新增了 Plugin 机制,使用类似 kubectl 和 Helm 的 Plugin 机制。 提问:如果 trivy 集成了 kubectl 作为 plugin ,而 kubectl 又用 trivy 做了 plugin 那会怎么样呢? 欢迎留言讨论~
-
Sprig 函数可以在 trivy 的自定义模板中使用了。有没有很眼熟?之前的周报中介绍过 Helm 3.5 也支持了同样的内容。
更多关于此版本的详细信息请参考其 ReleaseNote
Alertmanager v0.22.0-rc.0 发布
使用 Prometheus 的小伙伴对 Alertmanager 应该都不陌生,此版本中增加了很多实用的特性:
- 有了新的创建 Silence 的形式,新日历;
- Routes 可以按时间进行设置了, 这也就可以解决很多“非工作时间,不对测试环境报警”之类的需求了;
- 在界面上筛选的时候,可以支持 “非” 的匹配条件了, 比如我们可以直接做如下操作:“非生产环境,都关闭”;
- Web 界面原生支持 TLS 和 basic auth ;
- 增加了 OAuth2.0/OIDC 支持;
- 苹果 M1 支持;
更多关于此版本的详细信息,请参考其 ReleaseNote
Rancher Desktop v0.1.0 发布
Rancher 最近推出了一个基于 electron 构建的桌面工具,用于在 Windows 和 macOS 等桌面环境下管理 Kubernetes 和容器等。它的核心特性如下:
- 支持自选 Kubernetes 版本(通过 k3s 提供支持);
- 可测试 Kubernetes 版本升级时,应用负载的变化(也通过 k3s 提供);
- 容器镜像的 build/pull/push 等(通过 kim 和 BuildKit 等实现);
- 支持本地端口映射(通过 kubectl port-forward 实现);
这里简单来聊聊我对这个工具的看法吧。从上面的介绍来看,其实很容易就能发现,这是奔着 Docker Desktop 的市场来的。到目前为止,市面上所有工具中,能完全涵盖和替换 Docker Desktop 的还没有。无论说容器&镜像管理,镜像安全扫描,内置 k8s 集群等这些工具都能为开发者提供极大的便利性。这也是 Docker 仍然能在开发者工具中占有大量市场的一个主要原因。
其次,我们来看看这个工具推出的时机。最近 Docker Desktop 由于在新版本中将“关闭更新提醒”的功能设置成了付费用户可用,而遭到了大量的批判。这个工具选择在此时发布第一个版本,也许是凑巧,也许就恰好给一些人多了个选择。
额外多说一点,Docker Desktop 新版本中那个功能变更的事情,其实在各大社交媒体/论坛上都有过很多讨论了,就我个人而言,我觉得这个决定是合理的,也是 Docker Inc. 必须得做的。这个公司在开源方面已经做了足够多了,如果在自己的闭源产品上,也不做些策略,那就真的危险了。
上游进展
- #101093 · kubernetes/kubernetes 在今年年初的 #98571中为了在 Pod 优雅退出时候停止 probe 所以引入了非预期行为。此 PR 中对其进行了修复。该问题的场景是 Pod 在重启后
startupProbe
不能正常的执行。
欢迎订阅我的文章公众号【MoeLove】