云原生爱好者周刊：为 DevOps 流水线准备的 macOS 虚拟化工具

开源项目推荐

Tart^[1]

Tart 是一个虚拟化工具集，用于构建、运行和管理 Apple Silicon 芯片 macOS 上的虚拟机，主要目的是为 CI 流水线的特殊任务提供运行环境。主要亮点：

• 使用 macOS 最新的虚拟化框架 Virtualization.Framework 来创建虚拟机。
• 可以从 OCI 镜像仓库中拉取/推送虚拟机镜像。
• 可以使用 Tart 的 Packer 插件来自动化虚拟机创建流程。
• 内置 CI 集成。

Kcli^[2]

Kcli 是一个虚拟化平台管理工具，支持几乎所有的虚拟化平台和工具（例如 libvirt、oVirt、OpenStack、VMware vSphere、GCP、AWS 甚至支持 KubeVirt），你可以使用它来创建并管理虚拟机。

Tetragon^[3]

Tetragon 是 Cilium 开源的一款安全检测引擎，提供了基于 eBPF 的完全透明的安全可观测性能力以及实时的运行时增强（runtime enforcement）能力。由于基于 eBPF 的内核级收集器中直接内置了智能内核过滤能力和聚合逻辑，因此 Tetragon 无需更改应用程序即可以非常低的开销实现深度的可观测性。内嵌的运行时执行层不仅能够在系统调用层面进行访问控制，而且能够检测到特权、Capabilities 和命名空间的提权逃逸，并实时自动阻止受影响进程的进一步执行。

Infra^[4]

Infra 是一个基础架构单点登录工具，可以通过连接外部身份源（Identity Provider）或者本地用户来连接基础架构集群（比如 Kubernetes、数据库等等）。

trzsz-go^[5]

Go 语言版的 lrzsz，实现了类似 rz / sz 的功能，兼容 tmux。

开源电子书推荐

当 eBPF 遇上 TLS：以安全为中心的 eBPF 简介^[6]

Quarkslab 开源的电子书，介绍如何利用 eBPF 在本机破解 TLS 的明文。感觉场景还是有点问题，既然我都能访问主机了，能不能获取明文好像也没那么重要，从客户端层面破解 TLS 还差不多。

文章推荐

对监控系统进行监控：如何对 Prometheus 告警规则进行验证^[7]

Cloudflare 从 2017 年开始就开始大规模使用 Prometheus，Prometheus 的主要职责之一就是在出现故障时向相关人员发生告警，但告警本身是否可靠却无从而知。本文讨论的就是如何验证 Prometheus 告警的可靠性。

👉使用 KubeSphere 与极狐GitLab 打造云原生持续交付系统

KubeSphere 屏蔽了底层 Kubernetes 集群的差异，解决了 K8s 使用门槛高和云原生生态工具庞杂的痛点。极狐GitLab 提供了一体化 DevOps 能力覆盖软件开发全生命周期（从计划到运维），同时内置了安全功能，能够利用开箱即用的安全能力构建 DevSecOps 体系。本文介绍了如何结合 KubeSphere 和极狐GitLab，打造出一个适应云原生时代的持续交付系统。

云原生动态

Cloud Foundry 基金会推出 Korifi 以简化 Kubernetes 开发人员体验^[8]

Cloud Foundry 基金会发布了Korfi 的 beta 版本，这是一种新的平台即服务 (PaaS)，旨在简化开发人员和运营商的 Kubernetes 开发和部署体验。

该基金会表示，Korfi 带来了Cloud Foundry以开发人员为中心的体验，以提供在 Kubernetes 上运行的与 Cloud Foundry 兼容的应用程序平台，因为 Kubernetes 体验对于运营商和开发人员来说都是复杂的。

借助 Korfi，Cloud Foundry 正在构建从以前的迭代（如 cf-for-k8s 和 KubeCF）中学到的新架构。Korfi 为云原生技术带来了更大的互操作性，为 Kubernetes 带来了 Cloud Foundry 应用开发者体验的轻松和简单。这个新项目是 Cloud Foundry Foundation 运作方式发生更深层次变化的结果。

Envoy Gateway 提供标准化 Kubernetes Ingress^[9]

Envoy 代理项目正在扩展，目的是建立一套标准化的、简化的 API，用于与 Kubernetes 本身一起工作。

本周，在 KubeCon+CloudNativeCon EU 会议上，该开源项目透露，它一直在开发一个扩展项目--Envoy Gateway，该项目将使 Envoy 反向代理成为一个网络网关，使其不仅能够引导内部的微服务流量，还能管理进入网络的外部流量。Kubernetes 是最初的目标。

Envoy 网关背后的想法是提供 "一个简化的部署模型和 API 层，以满足较轻的使用情况"，Envoy 创建者 Mat Klein 在一篇博文中解释道。

Envoy 最初是为 Lyft 创建的，在 2016 年作为开源项目发布，主要用于建立服务网格（通常与另一个 CNCF 项目 Istio 一起），以帮助云原生应用程序通过 sidecar 相互通信。

Kubernetes 1.24：非优雅节点关闭特性进入 Alpha 阶段^[10]

Kubernetes v1.24 引入了对非优雅节点关闭（Non-Graceful Node Shutdown）的 alpha 支持。此特性允许有状态工作负载，在原节点关闭或处于不可恢复状态（如硬件故障或操作系统损坏）后，故障转移到不同的节点。

根据反馈和采用情况，Kubernetes 团队计划在 1.25 或 1.26，把非优雅节点关闭实现进入 Beta。 此特性要求用户手动向节点添加污点，以触发工作负载故障转移，并在节点恢复后删除污点。未来，我们计划寻找自动检测和隔离关闭/故障节点的方法，并将工作负载自动故障转移到另一个节点。

CNCF Security TAG发布云原生安全白皮书新版本^[11]

CNCF Security TAG（安全技术咨询小组，Security Technical Advisory Group）刚刚发布了一份更新的云原生安全白皮书 v2^[12]，以帮助社区了解保护云原生部署的最佳实践。该白皮书旨在让组织及其技术领导，清楚地了解云原生安全、其在生命周期过程中的结合，以及确定 NIST SSDF 等标准适用性的考虑因素。

新版本有以下主要变化：

• 安全默认值——Cloud Native 8：关于实施默认情况下安全的云原生应用的高级指南。
• SSDF 1.1 版映射：将NIST SSDF 的实践和任务映射到云原生安全应用生命周期
• ATT&CK 容器威胁矩阵：总结了威胁矩阵如何提供一个应用本文所述指南的结构
• 关于如何分享反馈的指南；关于如何分享对论文提供反馈的说明现在是论文的一部分，并附有一个简短的摘要，说明在第一版出版后如何收集和处理反馈。

SPIRE 现在可以在 Windows 上运行^[13]

SPIRE 项目的核心是解决大规模安全发布工作负载身份的问题，无论工作负载在哪里运行。它通过拥有一个由插件组成的可扩展架构来实现这一点，允许 SPIRE 根据支持不同平台、云提供商等的需求而增长。到目前为止，SPIRE 只能部署在 Linux 平台上。

1.3.0 版本增加了对在 Windows 上运行 SPIRE 服务器和代理的支持。现有的插件已被调整为可在 Windows 下运行。此外，还增加了一个新的针对 Windows 的工作负载证明器（类似于现有的 Unix 工作负载证明器），用于为 Windows 工作负载提供针对 Windows 的属性。

引用链接