CNCF是一个开源软件集合体,旨在推动云原生计算的采用。CNCF由开发人员、最终用户和IT服务提供商组成的社区驱动,这些社区协作创建开源的、供应商中立的工具。CNCF为项目创建工具,帮助促进云原生计算的采用。这些项目通常托管在GitHub上,项目会经历三个阶段:沙箱、孵化和毕业。以下5个新的CNCF工具,你应该考虑将它们添加到应用程序堆栈中。
一、Harbor
Harbor是一个开源容器镜像注册表,最近进入了孵化状态。公有镜像注册表可以帮助企业快速开展工作,然而,它们极易受到攻击,而且可以被篡改。Harbor是一个私有的内部注册表,它面向那些不想使用公有或基于云的存储库的组织。Harbor易于安装,可以通过Docker Compose脚本作为独立注册表部署,也可以使用Helm chart将其部署到Kubernetes平台。
一旦部署,Harbor允许你在称为项目的逻辑组中轻松隔离容器镜像,使镜像生命周期的管理更容易,然后可以向用户提供对这些项目的基于角色的访问,以确保安全性。Harbor还会扫描镜像以查找漏洞。漏洞扫描由Clair在rest中使用一组可配置的源来识别漏洞。漏洞扫描可以手动完成,也可以基于设定的频率或基于策略自动完成。
Harbor使用了一个干净的基于web的UI,使得浏览存储库和镜像非常高效。其他功能包括Webhook通知,可以用来快速地将注册表与CI/CD工具集成。项目可以在主要云供应商的注册表之间复制,从而使Harbor不受供应商的影响。使用Harbor,你可以应用异常,这样开发人员就可以继续使用带有已知bug的容器,而不会有任何中断。用户可以设置一个项目可以包含多少个标记的限制。项目配额也可以设置为允许每个项目具有特定的存储容量。默认配额可以全局应用,也可以根据需求应用于每个项目。尽管这个工具还处于酝酿阶段,但是那些走向云原生的企业应该考虑将Harbor作为其应用程序堆栈的一部分。
二、The Updated Framework
The Updated Framework(TUF)是最新的CNCF毕业项目。这是CNCF第一个安全相关的项目。更新应用程序、库包和系统包对于不断添加新功能和解决旧漏洞非常重要。软件更新系统负责识别、定位并定期下载更新。但是,承载这些更新的存储库会频繁地获取更新,这使得攻击者很容易利用更新发起隐藏攻击。攻击者可以诱使更新系统下载较旧的、不太安全的版本或被篡改的更新,从而让攻击者进入你的系统。
TUF提供了一个框架,可用于保护这些更新和防御攻击。TUF保护你免受各种攻击和更新漏洞的攻击。TUF通过添加关于存储库或应用程序状态的可验证记录来实现这一点。
元数据包括以下信息:元数据版本号、元数据过期日期、元数据上的签名、文件的哈希、可信签名密钥。
然后使用此记录验证更新的真实性。TUF使用各自的存储库元数据下载更新以验证更新,并且只有在更新是可信的情况下,才将它们交给你选择的更新系统。这样,软件更新系统就不必处理额外的元数据。
三、Vitess
Vitess是一个云原生数据库系统,它通过CNCF hoops加速并成为其第八个毕业项目。Vitess最初是由YouTube在2010年开发的,目的是扩展其存储空间。Vitess是一个数据库集群系统,它将重要的SQL功能与NoSQL的可伸缩性结合起来,并可以水平扩展。
Vitess可以轻松地部署、扩展和管理大型开源实例集群,而不管它是托管在私有云还是公有云上,还是托管在本地。Vitess帮助组织在不影响性能的情况下扩展其数据库存储。MySQL本身并不支持分片,但是,随着数据库的增长,你会需要它。使用Vitess,你无需向应用程序添加切分逻辑即可获得此功能,从而确保应用程序更改保持最小。
Vitess以多种方式处理数据库性能。使用Vitess,可以限制在任何给定时间运行的最大并行事务数。Vitess重写有问题的查询,并使用缓存机制来处理重复的查询。如果查询无法获取结果,Vitess可以在指定时间后自动终止查询。Vitess还监视和分析数据库,以确保最佳性能。使用Vitess,你可以部署和管理大量的SQL数据库实例,不会有任何麻烦。Vitess还允许你管理表的访问控制列表(ACL),以便为连接的用户提供适当的访问权限。
四、Falco
Falco是CNCF第一个处于孵化状态的运行时安全项目。Falco最初是由Sysdig开发的,是一个监控容器运行时的开源计划。对于云原生工作负载,安全性至关重要。而且,即使有数个适当的进程来处理应用程序、容器和网络级别上的安全性,一些风险仍然会被忽略。当所有其他安全进程失败时,运行时安全性是最后一道防线。
Falco通过提醒用户任何被认为是意外的事件或活动,提供了无与伦比的运行时检测。Falco可以很容易地部署为一个长期运行的守护进程或Debian/rpm包。可以使用规则文件配置Falco——该文件指定要查找的事件。一旦Falco遇到指定的事件,它就会发出警报通知用户。Falco使用Linux内核模块提供全面的运行时安全性。
五、KubeVirt
并非所有基于VM的工作负载都可以被容器化——随着企业冒险迁移项目,这一事实变得越来越明显。KubeVirt为解决这一困境提供了一个很好的解决方案。使用KubeVirt,你可以通过一个统一的平台运行容器化和虚拟化工作负载,这有助于弥合传统和现代应用程序开发方法之间的差距。这允许开发人员继续开发新的应用程序,同时以自己的速度缓慢迁移虚拟化组件。
KubeVirt允许开发人员使用Kubernetes管理虚拟机。它是通过使用K8自定义资源定义API以及与K8集群一起运行的其他控制器和代理将虚拟化资源类型添加到Kubernetes,来实现这一点的。
