张贴在 2024

  • Kubernetes 1.30:防止未经授权的卷模式转换进阶到 GA

    2024.04.30 在 博客

    作者: Raunak Pradip Shah (Mirantis) 译者: Xin Li (DaoCloud) 随着 Kubernetes 1.30 的发布,防止修改从 Kubernetes 集群中现有 VolumeSnapshot 创建的 PersistentVolumeClaim 的卷模式的特性已被升级至 GA! 问题 PersistentVolumeClaim 的卷模式 是指存储设备上的底层卷是被格式化为某文件系统还是作为原始块设备呈现给使用它的 Pod。 …

    更多

  • Kubernetes 1.30:结构化身份认证配置进阶至 Beta

    作者 Anish Ramasekar (Microsoft) | 2024.04.25 在 博客

    在 Kubernetes 1.30 中,我们(SIG Auth)将结构化身份认证配置(Structured Authentication Configuration)进阶至 Beta。 今天的文章是关于身份认证:找出谁在执行任务,核查他们是否是自己所说的那个人。 本文还述及 Kubernetes v1.30 中关于 鉴权(决定某些人能访问什么,不能访问什么)的新内容。 动机 Kubernetes 长期以来都需要一个更灵活、更好扩展的身份认证系统。 当前的系统虽然强大,但有一些限制,使其难以用在 …

    更多

  • Kubernetes 1.30:验证准入策略 ValidatingAdmissionPolicy 正式发布

    作者 Jiahui Feng (Google) | 2024.04.24 在 博客

    我代表 Kubernetes 项目组成员,很高兴地宣布 ValidatingAdmissionPolicy 已经作为 Kubernetes 1.30 发布的一部分正式发布。 如果你还不了解这个全新的声明式验证准入 Webhook 的替代方案, 请参阅有关这个新特性的上一篇博文。 如果你已经对 ValidatingAdmissionPolicy 有所了解并且想要尝试一下,那么现在是最好的时机。 让我们替换一个简单的 Webhook,体验一下 ValidatingAdmissionPolicy。 …

    更多

  • Kubernetes 1.30:只读卷挂载终于可以真正实现只读了

    2024.04.23 在 博客

    作者: Akihiro Suda (NTT) 译者: Xin Li (DaoCloud) 只读卷挂载从一开始就是 Kubernetes 的一个特性。 令人惊讶的是,在 Linux 上的某些条件下,只读挂载并不是完全只读的。 从 v1.30 版本开始,这类卷挂载可以被处理为完全只读;v1.30 为递归只读挂载提供 Alpha 支持。 默认情况下,只读卷装载并不是真正的只读 卷挂载可能看似复杂。 你可能期望以下清单使容器中 /mnt 下的所有内容变为只读: --- apiVersion: v1 …

    更多

  • Kubernetes 1.30:对 Pod 使用用户命名空间的支持进阶至 Beta

    作者 Rodrigo Campos Catelin (Microsoft), Giuseppe Scrivano (Red Hat), Sascha Grunert (Red Hat) | 2024.04.22 在 博客

    Linux 提供了不同的命名空间来将进程彼此隔离。 例如,一个典型的 Kubernetes Pod 运行在一个网络命名空间中可以隔离网络身份,运行在一个 PID 命名空间中可以隔离进程。 Linux 有一个以前一直未被容器化应用所支持的命名空间是用户命名空间。 这个命名空间允许我们将容器内使用的用户标识符和组标识符(UID 和 GID)与主机上的标识符隔离开来。 这是一个强大的抽象,允许我们以 “root” 身份运行容器: 我们在容器内部有 root 权限,可以在 Pod 内执行所有 root …

    更多

  • SIG Architecture 特别报道:代码组织

    2024.04.11 在 博客

    作者: Frederico Muñoz (SAS Institute) 译者: Xin Li (DaoCloud) 这是 SIG Architecture Spotlight 系列的第三次采访,该系列将涵盖不同的子项目。 我们将介绍 SIG Architecture:代码组织。 在本次 SIG Architecture 聚焦中,我与代码组织子项目的成员 Madhav Jivrajani(VMware)进行了交谈。 介绍代码组织子项目 Frederico (FSM):你好,Madhav,感谢你百 …

    更多

  • Kubernetes v1.30 初探

    2024.03.12 在 博客

    作者: Amit Dsouza, Frederick Kautz, Kristin Martin, Abigail McCarthy, Natali Vlatko 译者: Paco Xu (DaoCloud) 快速预览:Kubernetes v1.30 中令人兴奋的变化 新年新版本,v1.30 发布周期已过半,我们将迎来一系列有趣且令人兴奋的增强功能。 从全新的 alpha 特性,到已有的特性升级为稳定版,再到期待已久的改进,这个版本对每个人都有值得关注的内容! 为了让你在正式发布之前对其有所 …

    更多

  • 走进 Kubernetes 读书会(Book Club)

    作者 Frederico Muñoz (SAS Institute) | 2024.02.22 在 博客

    学习 Kubernetes 及其整个生态的技术并非易事。在本次采访中,我们的访谈对象是 Carlos Santana (AWS), 了解他是如何创办 Kubernetes 读书会(Book Club)的, 整个读书会是如何运作的,以及大家如何加入其中,进而更好地利用社区学习体验。 Frederico Muñoz (FSM):你好 Carlos,非常感谢你能接受我们的采访。首先,你能介绍一下自己吗? Carlos Santana (CS):当然可以。六年前, …

    更多

  • 镜像文件系统:配置 Kubernetes 将容器存储在独立的文件系统上

    2024.01.23 在 博客

    作者: Kevin Hannon (Red Hat) 译者: Michael Yao 磁盘空间不足是运行或操作 Kubernetes 集群时的一个常见问题。 在制备节点时,你应该为容器镜像和正在运行的容器留足够的存储空间。 容器运行时通常会向 /var 目录写入数据。 此目录可以位于单独的分区或根文件系统上。CRI-O 默认将其容器和镜像写入 /var/lib/containers, 而 containerd 将其容器和镜像写入 /var/lib/containerd。 在这篇博文中,我们想要 …

    更多

张贴在 2023

  • Kubernetes 1.29 中的上下文日志生成:更好的故障排除和增强的日志记录

    2023.12.20 在 博客

    作者:Mengjiao Liu (DaoCloud), Patrick Ohly (Intel) 译者:Mengjiao Liu (DaoCloud) 代表结构化日志工作组和 SIG Instrumentation, 我们很高兴地宣布在 Kubernetes v1.24 中引入的上下文日志记录功能现已成功迁移了两个组件(kube-scheduler 和 kube-controller-manager) 以及一些目录。该功能旨在为 Kubernetes 提供更多有用的日志以更好地进行故障排除,并 …

    更多