备案控制台
开发者社区 云原生 文章 正文

云原生生态周报 Vol. 3 | Java 8 ❤️ Docker

2019-04-29 4393
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: Docker Hub遭入侵,19万账号被泄露;Java 8 终于开始提供良好的容器支持;Snyk 年度安全报告出炉,容器安全问题形势空前严峻。

vol3.jpg

业界要闻

  1. Docker Hub遭入侵,19万账号被泄露 : 4月25日Docker官方邮件曝露,因为Hub的一个数据库收到非授权访问,影响了约19万用户的用户名和哈希后的密码,以及用户自动构建的Github和Bitbucket Token。Docker公司建议用户修改其登录密码。如果您在公有云上的应用依赖于来自 Docker Hub的镜像,我们强烈建议您登录容器服务控制台更新相应的docker login信息或kubernetes secret。此外,阿里云容器镜像服务企业版提供网络访问控制、独享OSS Bucket加密存储等安全加固功能,最大程度保障您的镜像仓库的安全。
  2. Java 8 终于开始提供良好的容器支持长久以来,容器 和 Java 就像一对“欢喜冤家”。一方面,容器技术的“不可变基础设施”特性为开发者带来了无比宝贵的依赖与环境一致性保证;但另一方面, Linux 容器通过 Cgroups 对应用进行资源限制的方式跟所有依赖于 JVM 进行资源分配的编程语言都产生了本质的冲突。而就在上周,最近发布的OpenJDK 镜像 openjdk:8u212-jdk 终于能够让 Java 8 运行时在容器里面为应用分配出合理的 CPU 数目和堆栈大小了。自此,发布 Java 容器应用的痛苦经历,可能要一去不复返了。
  3. Snyk 年度安全报告出炉,容器安全问题形势空前严峻知名开源安全厂商 Snyk 在年初发布了 2019 年度安全报告。报告中指出:“随着容器技术在2019年继续在IT环境中爆发式增长,针对容器安全的威胁正在迅猛增加,任何一家企业现在都必须比以往更加重视容器镜像安全,并将此作为企业的首要任务”。报告详情,请点击此处查看全文

上游重要进展

Kubernetes 项目

  1. Kubernetes 集群联邦 v1(Federation v1) 正式宣布废弃K8s 社区近日宣布将 Federation v1 代码库正式废弃。Federation v1 即 Kubernetes 项目原“集群联邦”特性,旨在通过一个统一的入口管理多个 Kubernetes 集群。但是,这个特性逐步被设计成了在多个 Kubernetes 集群之上构建一个 “Federation 层”的方式来实现,从而背离了 Kubernetes 项目的设计初衷。最终,在 RedHat、CoreOS、Google 等多位社区成员的推动下,社区开始全面拥抱 Federation v2一个完全旁路控制、以 K8s API 为核心的多集群管理方案。
  2. Kubernetes 1.15 进入发布节奏 K8s 1.15 发布进入日程,5 月30 日即将 Code Freeze(即:不接受任何功能性 PR)。
  3. [KEP] Ephemeral Containers KEP 合并,进入编码阶段
    Ephemeral container 旨在通过在 Pod 里启动一个临时容器的方式,来为用户提供对Pod和容器应用进行debug和trouble shooting的能力。这种通过“容器设计模式”而非 SSH 等传统手段解决运维难题的思路,对于“不可变基础设施”的重要性不言而喻,阿里巴巴在“全站云化”过程中也采用了同样的设计来解决类似问题。在上游完成该功能的编码实现后,会通过 kubectl debug 命令方便用户直接使用。

Knative 项目

  1. Knative 逐步弃用原 Build 项目。按照计划,Tektoncd/Pipeline 子项目已经在 v0.2.0 时移除了对 Build 的依赖。最近,Knative Serving v1beta1 也移除了对 Build 的依赖,目前,社区已经开始制定弃用 Build 的确切方式并通知到 knative 开发者社区。
  2. knative 正在考虑为事件触发(Trigger)引入更高级的规则和策略。 社区正在就 Advanced Filtering 设计一个 提案。该提案提议基于 CEL (Google 维护的一种表达式语言)来进行事件的过滤。具体来说,Trigger 的 filter 字段会增加一个 Spec 字段,然后在 Spec 字段下使用 CEL 语法完成对事件的过滤规则定义。

Istio/Envoy 项目

  1. Istio 1.1.4本周正式发布,其中一个重要的功能是更改了Pilot的默认行为,对出口流量的控制变化。除了之前通过Service Entry与配置特定范围IP段来支持访问外部服务,新版本中通过设置环境变量PILOT_ENABLE_FALLTHROUGH_ROUTE允许Envoy代理将请求传递给未在网格内部配置的服务。更多可以参考Istio流量管理实践系列文章。
  2. Envoy正通过ORCA改善负载均衡的精准度
    目前Envoy可以用于进行负载均衡决策的信息主要是权重和连接数等信息,为了能让Envoy的负载均衡更加精准需要为Envoy提供更多的决策因素。比如本地和远程机器的负载情况、CPU、内存等信息,更复杂的还可以利用应用程序特定的指标信息来进行决策,比如队列长度。而ORCA的目的是定义Envoy和上游代理之间传递这些信息的标准。该功能的提出者希望ORCA可以成为Universal Data Plane API (UDPA)。
  3. Envoy正引入RPC去代替共享内存机制以便提高统计模块的的扩展性
    Envoy当下通过共享内存的方式来保存stats数据的这种方式存在很多局限性,比如需要限制stats使用固定的内存大小,当有大量集群的时候没办法扩展。这给他升级stats子系统的架构带来了不少的阻碍。因此他希望可以通过将stats数据以堆内存的方式来保存,然后通过RPC在新老进程中传递。
  4. Envoy正在xDS协议中增加VHDS协议减小动态路由信息的更新粒度
    现状是,Envoy中的路由配置是通过RDS来动态更新的,但是RDS的粒度太粗了,包含了一个Listener下所有的路由配置信息。由于一个Listener下面可能会有多个服务,每一个服务对应一个Virtual Host,因此在更新路由的时候,如果只是其中一个Virtual Host更新了,那么会导致所有的路由配置都重新下发而导致通讯负荷偏重。引入VHDS就是为了只下发变化的路由信息,从而将更新的路由配置信息量缩小。

Containerd 项目

  1. Non-root用户运行 containerd 近日,社区正在尝试实现无需root权限就可以运行containerd的能力。在这种场景下,用户可以提前准备好容器所需要的 rootfs ,但是 containerd 服务端在清理容器时依然会尝试去 unmount rootfs,对于没有 root 权限的 containerd 进程而言,该步骤必定会失败(mount 操作必须要有 root 权限)。目前 Pivotal 的工程师正在解决这个问题,这种 non-root 模式可以为解决云上安全问题提供新的思路,

开源项目推荐

  1. 本周,我们向您推荐 kubeCDN 项目
    kubeCDN 项目是一个基于Kubernetes 实现的自托管 CDN 方案,只要将它部署在分布在不同地域(Region) 的 Kubernetes 集群上,你就拥有了一个跨地域进行内容分发的 CDN 网络。而更重要的是,通过 kubeCDN,用户不再需要第三方的内容分发网络,从而重新控制了原本就属于自己的从服务器到用户设备的数据流。kubeCDN 目前只是一个个人项目,但是这里体现出来的思想确实至关重要的:在不久的未来,每一朵云、每一个数据中心里都会布满 Kubernetes 项目,这将会成为未来云时代基础设施的“第一假设”。 推荐你阅读 InfoQ 的解读文章来进一步了解 kubeCND。

本周阅读推荐

  • 《Knative 入门——构建基于Kubernetes的现代化Serviceless应用》中文版,这是一本O’Reilly 出品的免费电子书,已经由 servicemesher 社区组织完成翻译。提供 在线阅读PDF下载
  • 信通院发起的云原生产业联盟出具《云原生技术实践白皮书》,白皮书系统性地梳理了云原生概念、关键技术、应用场景、发展趋势及实践案例。PDF链接
  • 阿里云 PB 级 Kubernetes 日志平台建设实践》Kubernetes 近两年来发展十分迅速,已经成为容器编排领域的事实标准,但是 Kubernetes 中日志采集相对困难。本文来自InfoQ记者的采访,文中谈及了如何让使用者专注在“分析”上,远离琐碎的工作。
  • Istio Observability with Go, gRPC, and Protocol Buffers-based Microservices》,这是一篇很长的博文,介绍可以与Istio相适配的观测性组件,用实际的例子演示了如何对以Go语言、Protobuf和gRPC为基础的微服务框架进行全面的观测。如果你还对Prometheus、Grafana、Jaeger和Kiali这几个组件感到既熟悉又陌生,并且好奇如何把它们组合在一起使用来提升微服务的可观测性,这个博客的内容应该会对你很有帮助。
  • 云原生的新思考:为什么说容器已经无处不在了?》这篇文章在对云原生技术总结的同时,对未来应用趋势走向进行了展望。“云原生不但可以很好的支持互联网应用,也在深刻影响着新的计算架构、新的智能数据应用。以容器、服务网格、微服务、Serverless 为代表的云原生技术,带来一种全新的方式来构建应用。”

名词解释:KEP - Kubernetes Enhancement Proposal, 即 Kubernetes 上游设计文档

本周报由阿里巴巴容器平台联合蚂蚁金服共同发布

本周作者:张磊,临石,浔鸣,天千,至简,傅伟,汤志敏, 王夕宁
责任编辑:木环

前期周报回顾

云原生生态周报 Vol. 2 | Istio中Envoy 代理漏洞已修复
云原生生态周报 Vol. 1 | 谷歌云发布Cloud Run

文章标签:
CDN
容器服务Kubernetes版
容器
Kubernetes
Java
Cloud Native
安全
关键词:
云原生docker
Docker云原生
Java docker
Docker JAVA
云原生Java
木环
目录
相关文章
江湖有缘
|
3天前
|
存储 Cloud Native 文件存储
云原生之使用Docker部署home-page个人导航页
【5月更文挑战第4天】云原生之使用Docker部署home-page个人导航页
江湖有缘
15 1
江湖有缘
|
17小时前
|
Cloud Native 测试技术 Linux
云原生之使用Docker部署homer静态主页
【5月更文挑战第7天】云原生之使用Docker部署homer静态主页
江湖有缘
6 0
江湖有缘
|
1天前
|
监控 Cloud Native 测试技术
云原生之使用Docker部署ServerBee服务器监控工具
【5月更文挑战第6天】云原生之使用Docker部署ServerBee服务器监控工具
江湖有缘
10 1
桃李春风一杯酒
|
3天前
|
Kubernetes Cloud Native 持续交付
【Docker专栏】Kubernetes与Docker:协同构建云原生应用
【5月更文挑战第7天】本文探讨了Docker和Kubernetes如何协同构建和管理云原生应用。Docker提供容器化技术,Kubernetes则负责容器的部署和管理。两者结合实现快速部署、自动扩展和高可用性。通过编写Dockerfile创建镜像,然后在Kubernetes中定义部署和服务进行应用暴露。实战部分展示了如何部署简单Web应用,包括编写Dockerfile、构建镜像、创建Kubernetes部署配置以及暴露服务。Kubernetes还具备自动扩展、滚动更新和健康检查等高级特性,为云原生应用管理提供全面支持。
桃李春风一杯酒
28 7
【Docker专栏】Kubernetes与Docker:协同构建云原生应用
江湖有缘
|
5天前
|
存储 Cloud Native 文件存储
云原生之使用Docker部署Nas-Cab个人NAS平台
【5月更文挑战第2天】云原生之使用Docker部署Nas-Cab个人NAS平台
江湖有缘
84 1
游客a74jvhcp7vclg
|
Cloud Native NoSQL Java
云原生时代必须具备的核心技能之Docker高级篇(DockerCompose-容器编排)
Compose 是用于定义和运行多容器 Docker 应用程序的工具。通过 Compose,您可以使用 YML 文件来配置应用程序需要的所有服务。然后,使用一个命令,就可以从 YML 文件配置中创建并启动所有服务。
游客a74jvhcp7vclg
223 0
云原生时代必须具备的核心技能之Docker高级篇(DockerCompose-容器编排)
游客a74jvhcp7vclg
|
Cloud Native Java 关系型数据库
云原生时代必须具备的核心技能之Docker高级篇(Docker实战之SpringBoot项目部署)
上篇文章介绍了如何搭建MySQL的高可以集群,那么本文就继续在这个基础上我们实现一个具体的SpringBoot项目部署。话不多说,直接开干!!!
游客a74jvhcp7vclg
229 0
云原生时代必须具备的核心技能之Docker高级篇(Docker实战之SpringBoot项目部署)
桃李春风一杯酒
|
1天前
|
存储 安全 数据安全/隐私保护
【Docker 专栏】Docker 容器化应用的备份与恢复策略
【5月更文挑战第9天】本文探讨了Docker容器化应用的备份与恢复策略,强调了备份在数据保护、业务连续性和合规要求中的关键作用。内容涵盖备份的重要性、内容及方法,推荐了Docker自带工具和第三方工具如Portainer、Velero。制定了备份策略,包括频率、存储位置和保留期限,并详细阐述了恢复流程及注意事项。文章还提及案例分析和未来发展趋势,强调了随着技术发展,备份与恢复策略将持续演进,以应对数字化时代的挑战。
桃李春风一杯酒
22 1
【Docker 专栏】Docker 容器化应用的备份与恢复策略
桃李春风一杯酒
|
1天前
|
缓存 关系型数据库 数据库
【Docker 专栏】Docker 与容器化数据库的集成与优化
【5月更文挑战第9天】本文探讨了Docker与容器化数据库集成的优势,如快速部署、环境一致性、资源隔离和可扩展性,并列举了常见容器化数据库(如MySQL、PostgreSQL和MongoDB)。讨论了集成方法、注意事项、优化策略,包括资源调整、缓存优化和监控告警。此外,强调了数据备份、恢复测试及性能评估的重要性。未来,随着技术发展,二者的集成将更紧密,为数据管理带来更多可能性。掌握此技术将应对数字化时代的机遇与挑战。
桃李春风一杯酒
19 3
【Docker 专栏】Docker 与容器化数据库的集成与优化
桃李春风一杯酒
|
1天前
|
监控 Kubernetes Docker
【Docker 专栏】Docker 容器内应用的健康检查与自动恢复
【5月更文挑战第9天】本文探讨了Docker容器中应用的健康检查与自动恢复,强调其对应用稳定性和系统性能的重要性。健康检查包括进程、端口和应用特定检查,而自动恢复则涉及重启容器和重新部署。Docker原生及第三方工具(如Kubernetes)提供了相关功能。配置检查需考虑检查频率、应用特性和监控告警。案例分析展示了实际操作,未来发展趋势将趋向更智能和高效的检查恢复机制。
桃李春风一杯酒
24 4
【Docker 专栏】Docker 容器内应用的健康检查与自动恢复

热门文章

最新文章

  • 1
    Java中的多线程编程:概念、实现与性能优化
  • 2
    使用Redis进行Java缓存策略设计
  • 3
    Java语言开发的AI智慧导诊系统源码springboot+redis 3D互联网智导诊系统源码
  • 4
    基于 java + Springboot + vue +mysql 大学生实习管理系统(含源码)
  • 5
    Java 中文官方教程 2022 版(二十九)(2)
  • 6
    使用Java代码打印log日志
  • 7
    Java 中文官方教程 2022 版(二十八)(1)
  • 8
    Java 中文官方教程 2022 版(十四)(1)
  • 9
    Java 中文官方教程 2022 版(九)(2)
  • 10
    深入理解Java并发编程:线程安全与性能优化
  • 1
    企业如何做好云原生安全
    65
  • 2
    Spring Boot 4.0:构建云原生Java应用的前沿工具
    65
  • 3
    深度剖析 RocketMQ 5.0,架构解析:云原生架构如何支撑多元化场景?
    140115
  • 4
    云原生K8S场景自动化响应ECS系统事件
    123
  • 5
    云原生日志收集机制和日志处理流程规范
    50
  • 6
    【Spring云原生系列】Spring RabbitMQ:异步处理机制的基础--消息队列 原理讲解+使用教程
    58
  • 7
    【Spring云原生系列】SpringBoot+Spring Cloud Stream:消息驱动架构(MDA)解析,实现异步处理与解耦合
    169
  • 8
    【Spring云原生】Spring Batch:海量数据高并发任务处理!数据处理纵享新丝滑!事务管理机制+并行处理+实例应用讲解
    89
  • 9
    【Spring云原生】Spring官宣,干掉原生JVM,推出 Spring Native!整体提升性能!Native镜像技术在Spring中的应用
    53
  • 10
    【云原生】Spring Cloud Gateway的底层原理与实践方法探究
    368

    • 相关课程

    更多
  • CNCF Alibaba 云原生技术公开课
  • Kubernetes云原生管理实践
  • 阿里云云原生数据仓库AnalyticDB MySQL版 使用教程
  • ALPD云架构师系列 - 云原生DevOps36计
  • 云开发平台快速开发部署云原生应用
  • 云原生技术架构成熟度模型解读

    • 相关电子书

    更多
  • 云原生加速数字创新的新质生产力
  • 为创新提速,打造智算时代的云原生应用平台
  • 云原生产业大会:阿里云精彩内容集锦

    • 相关实验场景

    更多
  • 云原生场景自动化响应ECS系统事件
  • 云原生HTAP数据库,让你的交易和分析一库搞定
  • 云原生AI套件:五分钟微调宝可梦风格StableDiffusion
  • 云原生AI套件:一键训练大模型及部署GPU共享推理服务
  • 基于云原生网关MSE-Higress插件实现WAF防护能力
  • Docker Compose部署案例

    • 推荐镜像

    更多
  • docker-ce
  • docker-toolbox
  • alpine
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)