云原生爱好者周刊：Kubernetes 新成立发布团队

云原生一周动态要闻：

• Log4j 漏洞引发安全事件
• Linux Foundation 将托管 Cloud Hypervisor 项目
• Kubernetes 1.24 发布团队正在招募
• BFE Server 1.4.0 和控制平面组件 v0.0.2 发布
• 开源项目推荐
• 文章推荐

云原生动态

Log4j 漏洞引发安全事件

日前，Apache Log4j 2 出现漏洞，并被黑客利用。Apache Log4j 2 是一款开源的日志记录工具，被广泛应用于各类框架中。

此次漏洞是由于 Log4j 2 提供的 lookup 功能造成的，该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中，并未对输入进行严格的判断，从而造成漏洞的发生。由于大量的软件都使用了 Log4j 2 插件，所以大量的 Java 类产品均被波及，包括但不限于 Apache Solr、srping-boot-strater-log4j2、Apache Struts2、ElasticSearch、Dubbo、Redis、Logstash、Kafka...

Apache 将漏洞的严重性定为“严重”，并在周五发布了补丁和缓解措施。

KubeSphere 团队应对此漏洞也推出了一个为 KubeSphere 用户提供建议的方案。

Linux Foundation 将托管 Cloud Hypervisor 项目

日前，非营利组织 Linux 基金会宣布，将托管 Cloud Hypervisor 项目，为现代云工作负载创建高性能、轻量级的虚拟机监控器。该项目以 Rust 语言编写，非常注重安全性，其特点包括 CPU、内存和设备热插拔；支持运行 Windows 和 Linux 客户端；通过 vhost-user 进行设备卸载；占用内存小。

该项目得到 Alibaba, ARM, ByteDance, Intel and Microsoft 等公司的支持。

Kubernetes 1.24 发布团队正在招募

Kubernetes 发布团队被嵌入到 SIG 发布中，负责成功发布所需的日常工作，而整个 SIG 则专注于发布流程的持续改进。历史上，发布经理（以前是发布负责人）和后来的发布团队承担了以下职责：

• 在 CNCF 的主持下，有权在公布的发布日期建立和发布版本
• 有权接受或拒绝对发布分支的偷梁换柱式的合并请求
• 在代码冻结期间有权接受或拒绝对 kubernetes/kubernetes 主分支的 PR

• 如果保持发布时间表会对发布的稳定性或质量产生重大影响，则根据需要改变发布时间表，这些责任将继续由 SIG 发布团队来履行。本章程授予 SIG 发布团队以下额外职责。

  • 有权恢复那些危及到在通知日期前发布的能力或对发布质量有负面影响的代码修改（例如，测试不充分，缺乏文档）
  • 有权保护不符合发布标准的功能标志后面的代码变化
  • 有权关闭任何不以发布为目标的修改的提交队列，作为执行代码冻结期的一部分，该冻结期应由发布小组来执行

Kubernetes 1.24 发布团队正在组建，可填写申请。

BFE Server 1.4.0 和控制平面组件 v0.0.2 发布

BFE Server 1.4.0 主要变化如下：

• 修复了配合 Go 1.17 使用时出现的问题
• 在部分实现中，使用 RWMutex 代替 Mutex，获得了部分性能上的收益
• 对 mod_markdown 模块，升级了其中使用的 bluemonday
• 优化了 Makefile 和 pre-commit 工具

BFE 控制面包括 APIServer、Conf Agent、Dashboard 三个程序，本次均发布了新版本v0.0.2。
控制面本次发布的版本主要包括如下变化：

• 对于 API Server

  • 提供了 BFE Open API 的完整中文文档
  • 完善了认证和授权部分的逻辑和功能，可以更好地管理控制台用户，及管理程序访问调用中使用的 Token，并支持按租户的权限控制
  • 修复了初始化时的数据库 DDL（Data Definition Language）由于 MySQL 的 NO_ZERO_DATE 限制导致失败的问题

• 对于 Conf Agent

  • 配合 API Server 的修改做了升级

• 对于Dashboard

  • 修复了后端集群的部分超时参数默认值设置不合理的问题
  • 配合 API Server，完善了用户和 Token 的管理功能

开源项目推荐

Wasmer

Wasmer 提供了基于 WebAssembly 的超轻量级应用沙盒，可以在任何地方运行：从桌面到云、以及 IoT 设备，可以嵌入到任何编程语言。

giscus

giscus 是由 GitHub Discussions 驱动的评论系统，无跟踪，无广告，永久免费，无需数据库。全部数据均储存在 GitHub Discussions 中。

logpaste

logpaste 是一个用于存储文本日志文件的 Web 服务，你可以把它看成一个专门用来共享日志内容的在线粘贴板。

Repobeats

Repobeats 是一款开发者工具，可在 GitHub README 页面上，添加酷炫的可视化统计图表，用以展示项目代码的提交频率、分支合并及 issue 状态。示例：

文章推荐

完全使用 BPF 来追踪系统事件

BPF 是 Linux 内核中用于追踪网络堆栈的一种追踪技术，最近由于越来越多的扩展而变得流行起来，这些扩展扩大了 BPF 的能力范围，可以用来实现程序性能分析工具、系统和程序动态跟踪工具等等。本文将展示如何使用 BPF 的 Linux 实现来编写访问系统和程序事件的工具，不需要借助任何专门的外部工具或库。

使用 eBPF 来加固 Kubernetes 工作负载

Kubernetes 中的 Security Profiles Operator 提供了多种方法来对应用程序进行测试，并记录 seccomp 配置文件。本文展示了如何使用 Operator 来保护应用程序，以及如何使用基于 eBPF 的 recorder 来完成这项工作。

本文由博客一文多发平台 OpenWrite 发布！