“Kubernetes 1.12通过TLS Bootstrap改进了云原生安全性”

有些功能需要比其他功能长的时间。 9月27日，云原生计算基金发布了kubernetes 1.12。 这次更新的亮点之一是tls bootstrapping的稳定版，这是开发者在过去两年中努力的安全功能。 关于背景，kubernetes只存在了四年。

安全性介于vmware高级工程师兼kubernetes 1.12发行人tim pepper向eweek传达的非常复杂和复杂的空之间。 像tls bootstrap这样的东西，必须设置证书和认证机构，并对请求和所有这些签名。 这是非常棘手和正确的。 所以，那很有道理，花了一点时间。

kubernetes是一种集装箱编组平台技术，是在多家利益相关公司cncf的支持下开发的，cncf本身就是linux基金会的项目。 kubernetes 1.12是继年6月27日的1.11里程碑和3月26日的1.10之后的年开放源代码项目的第三个主要版本。

tls bootstrapping允许kubernetes节点( kubelet )请求和获取传输层安全( tls )证书以加入tls安全群集。 pepper解释说，kubernetes的所有功能都需要通过成熟的流程，确保为部署到生产环境做好准备。

在kubernetes中，通过社区提出的想法首先作为alpha功能实现。 佩珀表示，阿尔法阶段的功能将通过分阶段的过程进入测试阶段，预计功能的api将保持稳定。 只有在能力强健、比较有效、已知良好的情况下，才能实现功能稳定或普遍可用( ga )阶段。

kubernetes 1.12的功能

kubernetes 1.12的其他稳定功能包括对microsoft azure虚拟机集( vmss )和群集自动调度器功能的支持。 vmss招聘用户可以创建可按策略或按需扩展的kubernetes pod。

kubernetes最初是为支持linux而开发的，后来添加了对microsoft azure和windows平台的支持。

测试版的功能

kubernetes 1.12还包含几个显着的功能，达到了beta级的稳定性。 一个是taint node by condition (按染色节点分类)。 佩珀解释说污点是对日程的宽容。 他说kubernetes开始安排cpu和内存可用性等基本功能。

taints功能真正开始了框架的构建，无需创建自定义调度程序，即可实现更有效的任意调度观察。 因此，作为集群的载体，可以声明集群有特定的功能和限制，pod客户可以声明这些功能和限制是可以接受的。

支持拓扑的动态分析是另一个功能，我们已经达到了测试状态。 pepper解释说，新的动态轮廓测试功能与Kubernetes 1.11版的配置图动态配置功能不同。 他说，拓扑意识的动态分解特定于存储，是kubernetes更广泛推动的一部分，用于实现与众不同的企业存储功能。

阿尔法功能

kubernetes 1.12除了beta功能之外，还引入了包括新的运行时类资源在内的多种alpha功能，pepper作为vmware的员工特别感兴趣。 这也是他以前的工作的错。

我曾经在英特尔的部门工作，确立了要成为kata容器。 最初被称为clear containers。 他说。 所以我一直对这个想法感兴趣。 它提供了与众不同的沙箱和容器周围的安全等级、容器或任何工作人员的量。

在卡塔容器中，由openstack的基金操作，使集装箱能够以孤立、安全的方式执行项目领导。 pepper解释说，kubernetes 1.12的运行时类是自定义资源定义( crd )。 这样，管理员就可以定义和检索kubernetes api的新扩展。

从与众不同的安全性角度来看，运行时类特别感兴趣，pepper说。 最初，我明确了只有pod沙箱，vm [虚拟机]有可能在pod之下，但我认为有可能会发生越来越多的事件。 让我们来看看今后真的对一年的快速发展感兴趣。