云原生爱好者周刊：延迟加载任意 OCI 镜像 | 2022-09-13

开源项目推荐

SOCI Snapshotter

SOCI Snapshotter 是一个 Containerd Snapshotter 插件，可以延迟加载任意 OCI 镜像，不需要 Stargz Snapshotter 一样构建特殊格式的镜像才能延迟加载。

Authentication Proxy

这个项目使用 YARP (Yet Another Reverse Proxy) 来卸载网关代理的认证，下游的应用程序不需要添加任何与认证相关的代码。你可以使用它作为 API 网关，也可以作为 Pod 的 Sidecar 代理。

Paralus

Paralus 是开源的零信任解决方案，可以自定义角色、身份提供商，以及创建不同权限的自定义规则等功能，支持 Kubernetes 多集群环境，可以控制所有集群的访问权限。

Depot

这个工具可以在云端远程构建 Docker 镜像，比 docker build 的构建速度更快，支持 Apple M1。

Sieve

Sieve 可以通过注入故障以及检测休眠故障来帮助开发者对 Kubernetes 的控制器自动进行可靠性测试，并且可以百分之百复现，开发者不需要对控制器做任何修改。

Dockle

Dockle 是用于安全的容器镜像 Linter，可以帮助我们构建最佳实践的安全 Docker 镜像，易于上手。

文章推荐

一文读懂 Prometheus 长期存储主流方案

Prometheus 作为云原生时代崛起的标志性项目，已经成为可观测领域的事实标准。Prometheus 是单实例不可扩展的，那么如果用户需要采集更多的数据并且保存更长时间该选择怎样的长期存储方案呢？

使用青云负载均衡器访问云上 K8s 集群内部服务

在 Kubernetes 集群中，网络是非常重要的基础设施。对于大规模的节点和容器来说，要保证网络的连通性、网络转发的高效，同时能做 IP 和 Port 自动化分配和管理，并提供给用户非常直观和简单的方式来访问需要的应用，这是非常复杂且细致的设计。使用青云 LB 结合 Ingress 可以轻松实现访问 K8s 集群内部服务。

Kubernetes 控制器模式

该系列文章介绍了使用 Kubebuilder 或 operator-sdk 创建 Kubernetes 控制器的通用模式。

云原生动态

Istio 引入 Ambient Mesh 模式

日前，Istio 推出“Ambient Mesh”，这是一种新的 Istio 数据平面模式，旨在简化操作，提供更广泛的应用程序兼容性，并降低基础设施成本。环境网格让用户可以选择放弃 Sidecar，转而使用集成到其基础设施中的 Mesh 数据平面，同时保持 Istio 的零信任安全、遥测和流量管理的核心功能。

Prometheus Certified Associate (PCA)

PCA (Prometheus Certified Associate) 认证考试展示了工程师对可观察性的基本知识和使用Prometheus(开源系统监控和警报工具包)的技能。

PCA 是一种预备级的专业认证，专为对可观察性和监控有特殊兴趣的工程师或应用开发人员设计。建议考生在参加 PCA 考试前已获得其他 Kubernetes 认证，如 KCNA、CKA 或 CKAD，或已完成 Prometheus 特定的培训或云原生培训课程。

PCA 考试的目的是帮助在考生使用 Prometheus 时具备了解基础的指标监控，指标，警报，监控面板的能力。通过认证的 PCA 考生具备在应用程序堆栈中构建或抓取可观测性数据的基础知识。另外，PCA 证书获得者具备对使用 Prometheus 监控云原生应用程序和基础设施的最佳实践的能力。PCA 亦确保考生了解如何使用可观测性数据来提高应用程序性能，排除系统实现故障，并将该数据输入其他系统。

Kubernetes 1.25：KMS V2 改进

在 Kubernetes v1.25 中，SIG Auth 引入了新v2alpha1版本的密钥管理服务 (KMS) API。

保护 Kubernetes 集群时首先要考虑的事情之一是加密静态的持久 API 数据。KMS 为提供商提供了一个接口，以利用存储在外部密钥服务中的密钥来执行此加密。

自 v1.10 版本以来，使用 KMS v1 进行静态加密一直是 Kubernetes 的一项功能，目前在 v1.12 版本中处于测试阶段。

Go 团队发布了一个新的漏洞检查器

Go 团队发布了一个名为 govulncheck 的创新漏洞检查器，调查结果显示错误处理已移至使用开源编程语言时“最大”挑战列表的顶部。

新的漏洞工具基于 Go 漏洞数据库，该数据库利用各种来源，包括 CVE（通用漏洞和暴露）条目和直接报告。检查可以使用独立的 govulncheck 工具进行，也可以通过 vulncheck 包进行，该包可以与 VS Code 或 JetBrains GoLand 等 IDE 集成。

本文由博客一文多发平台 OpenWrite 发布！