2023/2/15～3/25 精选容器新闻：

许多款K8s产品释出新版或准备推出新版。像是K8s预告今年4月将会释出第一个更新版本，也就1.30版，有多项重要更新，像是容器自动扩充机制，使用者命名空间等。红帽容器管理平台OpenShfit也释出4.15新版，Rancher Prime也将在4月释出3.0，将强化对AI/ML工作负载的调度能力。新版Linker则可以用来调度非K8s环境中的微服务，Grafana Labs也继续强化可观察性能力。

#k8s新版 #使用者命名空间 #容器自动扩充
K8s今年第一更4月登场！1.30版新功能抢先透露

K8s专案即将在四月中释出今年的第一个K8s新版本1.30版，最近，K8s部落格也抢先揭露了多项新版功能，例如动态资源调度的结构化参数功能、Linux节点记忆体交换功能、使用者命名空间功能、结构化授权配置档、Pod容器自动扩充机制都有增强。

动态资源调度的结构化参数功能提高了资源调，动态资源调度是用来调度跨Pod丛集或单一Pod丛集内部容器资源的API。新增的结构化参数功能，可以让开发人员预先定义一套资源分配的结构化参数，让kube-scheduler和Cluster Autoscaler来处理需要的资源分配，而不用像过去得靠第三方动态调度驱动程式。另外，1.30新版也新支援Linux节点记忆体交换功能，可以大幅提高系统的稳定性。

使用者命名空间功能的功能在1.30版进入了Beta版本，这个功能可以让开发者提供更好的Pod丛集隔离性，也能支援客制化的UID和GID范围的隔离。结构化授权配置档的功能也在1.30版进入Beta阶段，并且成为K8s预设启用的功能。这项功能可以建立一个更细致的权限控制要求，来验证多个呼叫请求的授权。HorizontalPodAutoscaler容器自动扩充机制，现在可以更细致的依据每一个容器的资源使用量，来决定配置自动扩充或缩小的配置规则，而不用像过去只能依据单一Pod丛集的用量来设定自动扩充的配置规则。这个自动化扩充功能正式在1.30版成为稳定的正式功能。 

#容器管理平台 #红帽
OpenShfit推出4.15新版，可以部署到AWS Outposts地端设备

红帽最近释出了OpenShift容器管理平台的4.15新版，在核心功能、边缘支援和虚拟化支援都有多项强化。新版正式部署到AWS Outposts地端设备上和AWS的5G 边缘运算基础架构Wavelength区域上，也能从Outposts上来部署在AWS上的OpenShift丛集。

在虚拟化功能上，新版则强化了更多灾难复原和韧性功能，像是增加网路热插拔来动态重新配置虚拟机器所用的网路卡，还简化了多种常用虚拟机器类型的快速安装体验，提供类似公云快速安装的实例选单，也新支援宣告式GitOps流程来复原虚拟机器。新版也能支援OpenShift丛集与外部第三方供应商间的OVN IPsec加密传输。去年底推出的可观察性平台Red Hat build of OpenTelemetry也正式在OpenShift 4.15版中提供，包括了Log、矩阵、追踪机制等，新版的可观察性仪表板也有更新，网路基础设施、Linux核心和K8s流量仪表板都有强化。OpenShfit这个新版本可以支援到K8s的1.28版和CRI-o 1.28版。

#AI工作负载优化 #容器管理
SUSE容器管理平台Rancher Prime新版4月登场，特别强化对AI/ML工作量的部署支援

随著生成式AI浪潮爆发，如何强化对AI运算的支援，成了K8s平台的新课题。SUSE将在4月正式推出容器管理平台Rancher Prime的3.0新版和Edge 3.0版，强化了多项安全软体开发能力，像是强化对软体物料表SBOM的支援来提供安全软体交付流程，也新增对K8s丛集API的支援，可以让企业更容易打造一个自助式的内部PaaS平台。另外，这个新版本可以自动侦测Nvidia所用的容器runtime配置，自动产生出要将AI模型部署到K8s环境时所需的GPU配置。Edge 3.0版则提供了更多在边缘运算环境中部署K8s的建置范本和安全映像档版本，让企业更容易建置边缘容器环境。

#可观察性 #丛集管理
Grafana Labs强化多项K8s可观察性能力，提供更完整的丛集健康分析

最近Grafana Labs宣布更新了K8s监控功能，IT团队不用手动配置监控K8s用的代理程式，而可以改用新推出的K8s监控Helm chart应用来部署，自动将客制化的矩阵、Log纪录、事件资讯、追踪和成本矩阵的资讯，传送到Grafana云上。K8s丛集除错功能也有简化，在Grafana通报功能网页上，新增了「出错Pod丛集」的单元，可以让IT团队快速看到每一个出错丛集所发生的状况来快速回应。另外，针对K8s丛集健康和效能分析，可以提供一个整体性的全貌分析以及更细节的分析内容，在历史资料分析上也提供了时间选取机制，可以快速检视不同时间的状态数据。

#WebAssembly应用 #毫秒级冷启动
Fermyon捐出自家Wasm应用平台给CNCF，可用来开发和部署K8s上的大量WebAssembly应用

最近Fermyon科技宣布将自家的Wasm on K8s平台SpinKube捐给CNCF组织。这是一个可以在K8s中开发、部署和维运WebAssembly应用的平台。根据Fermyon宣称，采用Wasm技术，可以让单一Pod丛集部署的应用数量增加50倍，也因此需要一个特别的Wasm应用管理平台。SpinKube可以用来将无伺服器的WebAssembly应用部署到K8s环境中，也可以用来打造一个自家的无伺服器环境，官方宣称还能达到1毫秒内的快速冷启动速度。

＃eBPF #可观测性 #云原生应用
K8s工作负载视觉化有新选择，微软开源了跨云容器网路观测平台Retina

日前，微软Azure容器网路团队发布云端原生容器网路观测平台Retina，让Kubernetes用户、管理者和开发者，能够以视觉化的方式，观测、除错并且分析Kubernetes的工作负载流量。Retina支援各种容器网路介面（CNI）、作业系统和云端平台，还能够与产业标准Prometheus和网路流量日志搭配使用，具有适应不同用例和环境的灵活性。Retina利用eBPF（extended Berkley Packet Filter）的功能，在不需更改现有应用程式的情况下，以非侵入的方式对Kubernetes网路进行深入分析和监控。

#容器能耗追踪 #永续IT管理 #红帽
每一个Pod丛集的耗电都能追踪，OpenShift释出容器层级能耗监控工具预览版

红帽在年初释出了OpenShift平台的新能耗追踪工具预览版，可以提供到容器层级的用电追踪，监控颗粒度可以达到Pod丛集或是每一个命名空间，让企业可以更细致地追踪云原生应用的能耗，来计算碳排。在OpenShift 4.14上现已提供这款工具，供用户进行试用。不过， 现阶段仅是技术预览版，尚未推出正式版。
这项工具可以用来追踪每日使用CPU的整体能耗情况，还能够细致地检视每个命名空间的能耗和功耗在不同时段的变化情形，提供每小时的更新频率。这项功能来自开源能耗追踪工具 Kepler专案，利用eBPF来取得能源相关系统状态的数据，并汇出成Prometheus指标进行监控和管理的工具。可以用来追踪过去24小的丛集整体能耗，即时搜集到多种功耗资讯，如RAPL（用于监控与管理CPU及记忆体的用电量）、NVML（GPU资源利用率管理函式库）、ACPI（系统电源效能管理介面）、IPMI（伺服器电源监测介面）等。还能展开检视不同命名空间的能耗排名，可以列出最耗能的容器和Pod丛集等。也结合了机器学习模型来进行测量和预估，以提高测量模型准确性，以便根据实际的资源利用率准确地估计其功耗。

#核心系统容器化 #微服务 #企业实战
凯基证将用容器技术和微服务打造新一代证券核心系统

凯基证券自2023年开始展开核心系统转型推动计划，规画逐步拆分大型主机系统的功能，转向容器化微服务架构，并优先完成帐务中台的架构转换。
凯基证券亚太区资讯长黄荣林期望透过系统核心的转型，能够大幅改善开发速度、缩短服务上市的推出时间，更订下推出时间缩短50％的目标。
不过，凯基证券不会将核心大型主机多套系统全部转为容器架构，有些系统分拆后会单独存在，并改用模组化方式重组。交易模组会先转换成新的云原生架构，再转换其他周边的模组，所有系统都会使用的共用模组，例如监控、认证、讯息沟通等，也会独立建立一套系统。需要低延迟的模组，特别是会影响下单的模组，不会纳入微服务架构中，比如主机连线的模组。

#K8s效能监测 #可观察性 #eBPF
Netflix开源自用的eBPF程式效能优化工具bpftop

可用来追踪Linux核心效能的eBPF技术，是监控K8s丛集效能的重要手段，可以透过程式化方式来追踪K8s丛集的运作。Netflix公开了一款内部的命令列工具bpftop，不只更容易监控eBPF程式的效能，还可以用来优化eBPF程式。Netflix提到，由于他们逐渐增加采用eBPF技术的比例，因此也就需要更严谨地看待相关系统，确保既能发挥eBPF的好处，又不会造成系统过度负载，进而保证营运效率。bpftop可提供动态即时检视图，显示执行中的eBPF程式平均执行时间、每秒事件数，以及估计总CPU使用率。而bpftop的优势是能够在工具活动时才启用效能统计，以最小化效能开销，同时bpftop提供时间序列表使用户能够清楚检视统计资料，进而发现异常模式和趋势。Bpftop使eBPF程式的效能最佳化过程变得简单，用户可有效地进行基准测试、程式码改进，并且建立起即时回馈循环。

#容器化整合测试 #Docker公司
红帽宣布和Docker公司结盟，OpenShift平台将整合Testcontainers容器化整合测试服务

最近在欧洲Kubecon大会上，红帽宣布与Docker公司结盟，红帽旗下容器管理平台OpenShift将可以存取Docker公司的容器化整合测试云Testcontainers，在OpenShift中使用后者完整的功能。Testcontainers云是Docker公司的持续整合服务，可以用Docker容器来快速建立各种测试环境，可支援9种语言的测试任务管理，也提供了一套仪表板功能来追踪各种整合测试的执行。红帽与Docker公司合作后，OpenShift用户可以将Testcontainers云的后端，部署到OpenShift丛集上。

#超大规模丛集管理 #串流服务优化
字节跳动开源新一代K8s多丛集管理工具KubeAdmiral，可管理1千万个Pod丛集

抖音母公司字节跳动最近释出了一款K8s多丛集管理工具KubAdmirl ，可用来管理超过分散在数十个K8s丛集上超过1千万个Pod。这款工具强化了多丛集的调度和排程能力，特别是针对大量串流服务场景的支援。字节跳动已将这款多丛集管理工具用于自家服务的扩充调度，管理超过1千万个Pod来支援10万支微服务的运作。KubeAdmiral每天处理到3万次更新或丛集扩充的调度操作。
这款工具采用了新的调度框架，将调度分为四个阶段，Filter、Score、Select和Replica，并由各自专门的外挂工具来处理调度逻辑，来降低整体复杂性，使用者也能增加自己的调度外挂机制。
因为完全使用K8s API功能来设计KubeAdmiral，而非开发专门的联邦API来管理丛集，因此，可以将多丛集间视为一体来查看部署情况，而不用逐一检视个别丛集的资讯。目前正在强化操作体验，优化Log和矩阵功能等功能。

#服务网格 #网格扩充
服务网格工具Linkerd新版2.15大更新，新网格扩充功能可以调度非K8s环境上的微服务

在去年11月时，服务网格工具Linkderd就提出了一个新个作法是网格扩充功能Mesh Expansion，可以将微代理伺服器（Microproxy）部署到非K8s环境上，让Linkerd控制平台能够调度在其他环境上的微服务。最近刚释出的2.15版，也正式开始支援网格扩充功能，可以用来调度在其他非K8s环境的微服务，可以将实体伺服器、虚拟机器等没有K8s环境上的微服务，也整合到同一个服务网格中来管理。为了支援非K8s环境的身分验证，Linkerd也引入零信任通用身分验证专案SPIFFE，来加密与虚拟机器工作负载之间的所有流量。

#Flux #GitOps流程
GitOps新创Weaveworks倒闭后，微软和GitLab等数十家企业表态继续支持Flux

提出GitOps持续交付自动化模式的云原生新创公司Weaveworks在今年2月初宣布倒闭。成立于2014年的Weaveworks，因GitOps专案FluxCD而声名大噪，更从Google创投获得1,500万美元投资，日前也才从AWS和多家电信业者取得3,660万美元的资金。该公司执行长于在Linkedin部落格上坦言，虽然2023年营收有双位数成长，超过了1,000万美元，但仍因为销售业绩赶不上现金支出而不堪负荷，原本正在洽谈的大公司并购也宣告破局，因此，他决定结束公司，这个宣布引起开源社群热烈讨论。

但是，他们所开发的开源GitOps工具专案Flux，早在2019年就捐给CNCF组织，并在2022年成为毕业专案，也意味著专案社群具有足够的发展能力。而在Weaveworks宣布关门同一周，原本在该公司任职的Flux核心维护者Stefan Prodan，也转而加入另一家同样重度使用Flux的跨云管理平台公司ControlPlane担任首席顾问，他还迅速发布了一个小更新版本2.2.3，来凸显这个专案的持续能力。
自家产品深度支援Flux建置的微软、GitLab也相继表态会继续支持这个专案，更有十多家科技公司确定继续支援Flux，思科和德国零售商Tchibo最近也加入了长期Flux采用者名单。GitLab更在3月5日，Weaveworks关门满一个月时特别强调，经过一个月与FluxCD周边工具商的讨论，找不到更好的GitOps成熟替代方案，因此，他们会全力继续支持，并更积极参与Flux社群。

#容器安全侦测 #云端日志分析
K8s威胁侦测引擎Falco专案宣布毕业，未来要扩大支援更多云端日志和GitHub

在2018年进入CNCF组织孵化沙盒的K8s威胁侦测引擎Falco专案，最近宣布正式毕业。这款由Sysdig打造的安全工具，可以用来追踪容器行为，透过规则引擎检测容器、应用程式、底层主机和容器平台的异常状态，一但有异常行为，就会发布警告。最近几年，Falco维护者持续强化工程流程，甚至重构了Falco程式库，推出了改良后的测试套件与新的核心测试框架，也结合了热门的eBPF技术推出Linux核心的探针功能。包括AWS、IBM、红帽都是主要使用者也是专案贡献者。Falco预告，未来支援更多来源的资料来强化侦测能力，例如支援各种云端日志和GitHub上的开发者接触点，新版也会持续简化部署和管理功能。

更多新闻

• New Relic宣布新功能可以让K8s丛集一个步骤就具备OpenTelemetry能力
• 开源服务网格专案Istio维护者准备释出服务网格专案的轻量级版本Ambient的Beta版本
• 微软分散式应用程式Runtime专案Dapr释出1.13版，新释出SDK来简化分散式运算流程的调度

资任编辑：王宏仁
图片来源：红帽、Fermyon、Netflix