1 — Gartner认为Istio正在占领微服务市场
2 — Linkerd整合Conduit, Service Mesh战火燎原
3 — CNCF 宣布prometheus毕业
4 —CableLabs推出SNAPS-Kubernetes平台
1. Gartner认为Istio正在占领微服务市场
容器和微服务的出现催生了一种被称为服务网格的新型网络架构范例。尽管IT系统中的服务网格架构还处于初期阶段,但和容器一样,发展迅速。在 2017 年 12 月云原生计算基金会(CNCF)举办的 KubeCon 和 CloudNativeCon 上,服务网格已经取代容器成为 DevOps 前沿最热门的话题。
“我们经常发现自己在构建应用软件时,我们实际上在做的是一遍又一遍地编写相同的代码来解决某些实际上非常困难的计算机科学问题,这些问题应该被考虑到某种通用接口中”,微服务监控创业公司 LightStep 首席执行官 Ben Sigelman 在 KubeCon 的服务网格主题演讲中表示:“服务网格可以用来做发现服务、服务连接、断路、负载均衡、安全和身份验证”。
服务网格使用一个称为 sidecar 的代理,它是附加在应用程序旁或运行在 Kubernetes 的 pod 中的容器,具体运行在哪里取决于所使用的服务网格的类型。然后,该代理可以连接到集中式的控制平面软件,这些软件收集细粒度的网络遥测数据,应用网络管理策略或更改代理配置,建立并执行网络安全策略。这一设计原则是小团队可以自由地使用任何语言进行独立的服务管理,而无需依赖特定语言库。
在 2016 年初,第一批在 Twitter 上实施微服务的工程师成立了 Buoyant 公司,该公司采用 sidecar 代理方法替代应用程序库。Buoyant 在 2016 年年中创造了Service Mesh这个术语,其最初的服务网格产品 Linkerd 使用 Java 虚拟机(JVM)作为 sidecar,这种设计将网络管理负担从应用程序开发人员转移出来,并支持对多语言的集中管理应用网络。
然而,就在Linkerd 还未站稳脚跟时,谷歌和IBM联手Lyft公司的Envoy创建了 Istio。这种基于容器的服务网格一经发布就立刻引起了业界的广泛关注。
Gartner 分析师 Anne Thomas 认为:到目前为止,Istio 已经成为这个新兴市场中最具影响力的项目。因为传统的网络管理概念,例如负载均衡器,无法按微小的百分比把流量路由到某些节点,以便进行金丝雀或蓝/绿发布。而且传统的网络监控工具也不提供服务网格所提供的那种细粒度的遥测数据,能够跟踪 99% 的应用程序延迟中的微小异常,其重要性在微服务网络中被放大。
即使在银行业等传统行业中,开发人员也在创建复杂的面向消费者的应用程序,这些应用程序看起来更像是Google 这样的大规模的网络应用程序。
IBM 工程师 Daniel Berg 说:精细的流量路由和安全策略也将成为 IBM 推出的基于 Istio 的混合云概念的关键组成部分,并将用于管理私有云和公有云中的微服务。
2. Linkerd整合Conduit, Service Mesh战火燎原
Linkerd 是service mesh(服务网格)领域的几个流行工具之一。是由 Buoyant 的联合创始人 William Morgan 和 Oliver Gould 在 2015 年创建的。Linkerd 构建在 Finagle(Twitter 开发的用于 JVM 的可扩展 RPC 系统)之上,它能够用来构建语言中立的、多语种的微服务应用程序,该项目的设计适用于高并发的场景。
其他服务网络工具还包括 Istio、 Envoy、Cilium 和 Consul Connect等。其中,Istio前几天还发布了1.0版本,宣告生成环境正式可用。尽管Linkd项目早于Istio的诞生,但Istio+Kubernetes的组合在容器和微服务领域如火如荼,大有收割一切的气势。Linkerd主要问题还在于使用 Java 虚拟机(JVM)作为 sidecar,架构上过重,而且JVM往往会消耗上百兆的内存。
而Conduit 是的一个相对较新的轻量级、基于社区的服务网格(service mesh),同样来自 Buoyant。它设计为使用 Kubernetes 部署的低资源消耗的 sidecar,Conduit 采用一种带有倾向性的方式来实现服务网格,其目标是减少配置和大幅度降低资源的开销。它带来的结果就是在资源开销、性能和部署便利性方面都有了明显改善。
Conduit 快如闪电般的 Rust 代理每个实例的内存消耗只有大约 10MB,具有毫秒级别的 p99 延迟,并且支持 HTTP/1.x、HTTP/2 和 gRPC。Conduit 在任何 Kubernetes 集群上都能秒级瞬间安装,并且能够根据你感兴趣的服务情况进行增量扩展。
当被问到原始意图是否就是要将 Conduit 一起并入 Linkerd 时,Conduit 项目的发起人Gould 回答到:“当 Conduit 创建的时候,我们的愿景是构建出一个极其简单的方案,来解决我们花费数年的时间帮助 Linkerd 用户所克服的问题:云原生应用的监控、可靠性以及安全性。另外,我们非常确信 Linkerd 只需很少的系统资源就能实现这一点。”
很明显,Linkerd整合Conduit,目标就是和Istio的直接竞争Service Mesh这个未来前景广阔的市场空间。
3. CNCF 宣布prometheus毕业
8月9日,CNCF在PromCon(专门用于监控系统的年度Prometheus会议)宣布Prometheus继Kubernetes之后成为第二个毕业项目。
“自2012年成立以来,Prometheus已成为企业构建现代云原生应用程序的首选开源监控工具之一“,CNCF首席运营官Chris Aniszczyk表示,“自从被接受为CNCF的第二个项目以来,Prometheus已经培养了一个活跃的开发者和用户社区,让TOC充满信心地投票支持项目毕业。作为其成熟的证明,我们很高兴看到普罗米修斯社区推出OpenMetrics项目,它采用Prometheus结构格式,并努力将其演变为事实上的行业规范。“
Prometheus于2012年在SoundCloud创建,于2016年5月贡献到CNCF。项目自进入CNCF的孵化项目以来已经历过30个版本迭代。Prometheus现在拥有近20个活跃的维护者,超过1,000个贡献者和超过13,000个commit。Prometheus也可以跟Kubernetes集成,以支持服务发现和动态调度服务的监控。
为了正式毕业,Prometheus项目采用了CNCF行为准则,执行独立的安全审计,定义了自己的治理结构以发展社区。此外, Prometheus还必须获得CII徽章(核心基础设施倡议最佳实践徽章),CII徽章代表了对代码质量和安全最佳实践的持续承诺。
4. AWS致GoDaddy数万系统配置信息泄漏
昨日,有媒体消息披露,全球最大的互联网域名托管服务商 GoDaddy 存储在 AWS 的敏感信息被意外泄露 ,信息包括超过 3 万个系统的高级配置信息以及 GoDaddy 使用 AWS 基础设施的折扣价格。
网络安全公司 UpGuard 最先发现了潜在的暴露信息(正是这家公司通过五角大楼疏于保护的 AWS S3 存储桶发现了五角大楼的社交媒体监控操作),指出了 GoDaddy 在 AWS 云基础设施上的相关敏感文档信息通过 GoDaddy 的 AWS S3 存储桶公开暴露。
GoDaddy 被泄露的信息包含在名为 abbottgodaddy 的 Excel 表格中,其中包括了约 3.1 万个系统的高级配置信息以及在 AWS 中运行这些系统的价格信息。配置信息包括主机名,操作系统,服务器工作负载,AWS 区域,内存和 CPU 规格等字段。“基本上,这些数据映射了一个非常大规模的 AWS 云基础架构部署”,UpGuard 的报告中称。
虽然 AWS S3 存储桶默认是私有的,但可以更改权限以授予其他人访问权限。在一些情况下,当发现 S3 存储桶上暴露了敏感数据时,AWS 用户应该承担责任。但此次 GoDaddy 的信息泄露责任似乎在 AWS。
AWS 承认,一名销售代理对包含电子表格的 S3 存储桶安全保护措施不到位:“这个存储桶由 AWS 销售人员创建,用于在与客户合作时存储预期的 AWS 定价方案。暴露的存储桶中没有 GoDaddy 的客户信息。虽然默认情况下 Amazon S3 是安全的,并且存储桶访问权仅限于默认配置下的帐户所有者和 root 管理员,但销售人员没有遵循特定存储桶的 AWS 最佳实践“。
如果竞争对手得知了这些折扣信息,他们就可以跟亚马逊讲价了。但 AWS 发言人称,GoDaddy 的 AWS 定价费率信息是“不确定的”。
GoDaddy 原本是有机会防止这次信息泄露的。在发现暴露的存储桶之后不久,UpGuard 就通知了 GoDaddy 可能的信息泄露风险,但五周后,GoDaddy 仍未对这些信息进行保护。
如果黑客或商业竞争对手发现这些数据,AWS 的用户会存在安全隐患,他们的竞争优势也将受到挑战。
可以利用这些信息的不仅只有 GoDaddy 的竞争对手,还有恶意攻击者。作为全球最大域名注册服务商、互联网主机服务商,GoDaddy 掌握着巨大的互联网资源。如果恶意攻击者深入了解 GoDaddy 服务器的配置方式,他们可以利用这些信息攻击 GoDaddy 的基础设施。
过去几年中,已经有太多公司因没有正确配置 S3 存储桶而导致类似的数据泄露。这些数据泄露很大程度上要归咎于亚马逊,因为在 AWS 的服务上犯这种错误实在太容易了。然而,将不能公开暴露的数据放在公共云上,公司也应该反省。
敏感信息泄露是威胁全球的网络信息安全隐患,网络安全行业和技术行业需要意识到他们有问题,并且诚实公开地面对这些问题。
