Kubernetes 1.12通过TLS Bootstrap改进了云原生安全性
有些功能需要比其他功能更长的时间。9月27日,云原生计算基金会宣布推出Kubernetes 1.12。此次更新的亮点之一是TLS Bootstrapping的稳定版本,这是开发人员自2016 年发布Kubernetes 1.4以来过去两年一直在努力的安全功能。对于背景,Kubernetes 仅存在了四年。
“安全是一个非常复杂的复杂空间,”VMware的高级工程师兼Kubernetes 1.12发布负责人Tim Pepper告诉eWEEK。“像TLS Bootstrap这样的东西,你必须设置证书和证书颁发机构,签署请求和所有这些,这是非常棘手的,正确。所以,它是有道理的,它花了一些时间。”
Kubernetes是一种容器编排平台技术,是在多利益相关方CNCF的支持下开发的,CNCF本身就是Linux基金会的一个项目。Kubernetes 1.12是继2018 年6月27日的1.11里程碑和3月26 日的1.10之后的2018年开源项目的第三个主要版本。
通过TLS Bootstrapping,Kubernetes节点(Kubelet)可以请求并获取传输层安全性(TLS)证书以加入TLS安全群集。Pepper解释说,Kubernetes的任何功能都需要通过成熟过程来确保它已准备好并且稳定用于生产部署。
在Kubernetes中,通过社区提出的想法首先作为alpha功能实现。佩珀表示,Alpha阶段功能将通过分级过程成为测试阶段,此时功能的API预计将保持稳定。只有当能力稳健,有效且已知良好时,才能实现功能的稳定或通常可用(GA)阶段。
Kubernetes 1.12功能
Kubernetes 1.12中的其他稳定功能包括对Microsoft Azure虚拟机集(VMSS)和集群自动调度程序功能的支持。VMSS使用户能够创建可根据策略或按需扩展的Kubernetes pod。
Kubernetes最初是在支持Linux的情况下开发的,此后又增加了对Microsoft Azure和Windows平台的支持。
测试版功能
Kubernetes 1.12还包括多个显着的功能,已达到beta级别的稳定性。一个是Taint Node by Condition。佩珀解释说,“污点”是对调度的容忍。他说,Kubernetes开始安排一些基本功能,包括CPU和内存可用性。
“taints功能真正开始构建一个框架,您可以在不必编写自定义调度程序的情况下实现有效的任意调度注意事项,”他说。“因此,作为群集的运营商,您声明群集中具有某些功能和约束,然后pod用户可以声明他们可以容忍哪些功能和限制。”
拓扑感知动态分析是另一项功能,现已达到测试状态。Pepper解释说,新的Dynamic Profiling beta功能与Kubernetes 1.11版本中的ConfigMap动态配置功能不同。拓扑意识动态分析是特定于存储的,是Kubernetes更广泛推动的一部分,用于实现差异化的企业存储功能,他说。
Alpha功能
除了beta功能外,Kubernetes 1.12还引入了多个alpha功能,包括新的RuntimeClass资源,Pepper说他作为VMware的员工特别感兴趣,也因为他以前的工作。
“我曾经在英特尔的部门工作,建立了什么成为Kata容器,最初被称为Clear Containers,”他说。“所以我一直对这个想法非常感兴趣,它提供了差异化的沙盒和容器周围的安全级别,容器或任何工作量。”
在卡塔容器努力由OpenStack的基金操作,以帮助实现集装箱在一个孤立的和安全的方式运行项目领导。Pepper解释说Kubernetes 1.12中的RuntimeClass是一个自定义资源定义(CRD),它使管理员能够定义和检索Kubernetes API的新扩展。
“从差异化的安全角度来看,RuntimeClass特别有趣,”Pepper说。“最初,确定它只是一些pod沙盒,可能是一个VM [虚拟机]在一些pod下,但我认为它有可能做更多的事情,看到即将到来真的很有趣一年如何发展。