我维护着一个叫做 Tern 的开源项目，这个项目是为容器镜像生成一个软件材料清单（SBOM）。很多安装在容器镜像中的组件都是独立安装的，而非通过包管理器。这使得我们很难弄清楚创建这个容器镜像的作者的意图。它也没有提供更多关于容器镜像贡献者的信息。大多数容器镜像都是基于之前已有的容器镜像，通过客户端工具或者...

CLI 方面主要是移除掉了一直以来存在的 WARNING: No kernel memory limit support 这个 Warning 信息，同时在 cgroup v2 下也不会再显示 WARNING: No oom kill disable support 的 Warning 信息了。

KIND (Kubernetes In Docker) 关注我的小伙伴想必已经都很熟悉了，这是我一直都在参与也用的非常多的一个项目，它可以很方便的使用 Docker 容器作为 Kubernetes 的 Node ，快速的启动一个/或多个测试集群。自上个版本发布以来已经过了 4 个月，我们一起来看看这个版本中有哪些值得注意的变更吧！

Trivy 是一款由 Aqua Security 开源的镜像漏洞安全扫描程序，在之前的周报中我已经介绍过它很多次了，特别方便使用！（吃我安利！）本周 Trivy 发布了 v0.17 版本，我们一起来看看本次值得关注的变更。

距离上个版本已经过去了一个多月，Docker 于近日发布了 v20.10.6 版本，还有 Docker Desktop 也发布了新版。这个版本中除了带来了 M1 的支持外，还带来了很多值得关注的内容，我们一起来看看吧！

作为 2021 年的首个版本， Kubernetes v1.21 们带来了众多很棒的特性，共计 51 项特性变更，其中 13 项升级到 Stable， 16 项目升级到 Beta，20 项成为 alpha，以及 2 项将被废弃。我们一起来看看我认为比较重要的一些内容。

这里我们先从宏观上对 Docker 有个大概的认识，它整体上是个 C/S 架构；我们平时使用的 docker 命令就是它的 CLI 客户端，而它的服务端是 dockerd 在 Linux 系统中，通常我们是使用 systemd 进行管理，所以我们可以使用 systemctl start docker 来启动服务。（但是请注意，dockerd 是否能运行与 systemd 并无任何关系，...

KIND （Kubernetes In Docker ）是我很喜欢也一直在参与贡献的 Kubernetes SIG 子项目，本周 KIND 发布了 v0.10 版本，距离上次 v0.9 版本已过去了 4 个多月，在此期间，我们做了很多的优化和改进。下面我来具体介绍下：

大家好，我是张晋涛。我们用 Go 构建的二进制文件中默认包含了很多有用的信息。例如，可以获取构建用的 Go 版本：(这里我使用我一直参与的一个开源项目 KIND 为例) {代码...} 或者也可以获取该二进制所依赖的模块信息： {代码...} 查看 KIND 代码仓库中的 go.mod文件，都包含在内了。其实 Linux 系统中二进制文件包含额...

我现在对那天仍记忆犹新。那天晚上我总觉得好像需要做点什么，但其实那种感觉也描述不出来。最终我是打开电脑看了几遍孕妇学校老师给的关于临产前准备工作视频后睡觉的。当时小可爱还笑我是不是太紧张了。凌晨时我们一起去了医院，经过小可爱的一番努力，从此我也就增加了新的角色， 成为了一名奶爸，谢谢我的小可爱！

在之前的 K8S 生态周报| Docker v20.10.0-beta1 发布 一文中，我曾为你介绍过 Docker v20.10.0-beta1 发布相关的信息，但是并没有具体介绍 Docker v20.10 版本的具体功能特性等细节。

Docker Desktop v3.0 已于前两周正式发布，从这个版本起，Docker 官方承诺每次的更新将以增量更新的方式来提供，以便减少下载包的体积，提升效率。

Go (golang) 已于 18 日发布了 1.16 beta1 版本，至此其主体功能已经基本确定。我看大多数人都在关注 Go 在苹果(Apple) M1 上的支持，甚至 Go 官方博客中也有一篇专门的说明 Go on ARM and Beyond ，来介绍 Go 在此方面的支持。

Docker 是在 2013 年的 PyCon 上首次正式对外公布的。它带来了一种先进的软件交付方式，即，通过容器镜像进行软件的交付。工程师们只需要简单的 docker build 命令即可制作出自己的镜像，并通过 docker push 将其发布至 DockerHub 上。通过简单的 docker run 命令即可快速的使用指定镜像启动自己的服务。

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。Istio v1.7.1 发布这是 Istio v1.7 系列的第一个 patch 版本。此次更新有些值得注意的内容：#26625 修复了 istioctl x authz check 使其能更好的兼容 v1beta1 AuthorizationPolicy ；#26617 修复了 headl...

最近 DockerHub 修改了定价，对于免费帐号会限制 200 pulls/6小时，对于匿名帐号则限制 100 pulls/6小时。 本文我来介绍下如何使用 Cache 来应对此问题。

Google 选择 Cilium 主要是为了增加 GKE 平台的容器安全性和可观测性。那么，Cilium 到底是什么，为什么会有这么强的吸引力呢？

Open Service Mesh (OSM) is a lightweight, extensible, Cloud Native service mesh that allows users to uniformly manage, secure, and get out-of-the-box observability features for highly dynamic microservice environments.

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。Istio 1.6.7 发布Istio 1.6.7 是为了解决在 1.6.6 中引入的一个 bug。该 bug 可能会导致 在使用 Istio 1.6.6 时，某些 Pod 进入 CrashLoopBackOff 状态，无法正常提供服务。修复后的核心代码如下，这里主...

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。Conftest 正式加入 Open Policy Agent 项目conftest 是一个非常实用的 CLI 工具，可以用于测试/验证配置文件是否符合预期。例如，可以通过如下内容来定义规则： {代码...} 使用此规则去检查一个未符合预...

在 Docker v19.03.11 发布时，我在「K8S 生态周报| 几乎影响所有 k8s 集群的漏洞」 一文中曾介绍过，该版本主要是为了修复一个通过使用 IPv6 RA 消息进行地址欺骗的安全漏洞 CVE-2020-13401。

#3776更好的 metrics 名称，其修改了大量的 metrics 名称，Dashborad 之类的都需要修改了。 例如： coredns_request_block_count_total -> coredns_dns_blocked_requests_total

距离 v19.03.10 发布仅一周时间，Docker 又发布了新版本 v19.03.11 。此版本是一个安全修复版本，通过禁用了 IPv6 路由地址广播（RA）从而防止地址欺骗，对应的漏洞为 CVE-2020-13401 。

Prometheus 是最早由 SoundCloud 开源的监控告警解决方案。并已经成长为继 Kubernetes 之后，第二个从 CNCF 毕业的项目。伴随着云原生理念的普及和 Kubernetes 等技术的发展， Prometheus 在监控领域也有了长足的发展。

Prometheus 是最早由 SoundCloud 开源的监控告警解决方案。并已经成长为继 Kubernetes 之后，第二个从 CNCF 毕业的项目。伴随着云原生理念的普及和 Kubernetes 等技术的发展， Prometheus 在监控领域也有了长足的发展。

此次默认的集群镜像是 Kubernetes v1.18.2 : kindest/node:v1.18.2@sha256:7b27a6d0f2517ff88ba444025beae41491b016bc6af573ba467b70c5e8e0d85f ;

Helm v2 时候，Release 默认是以 configmap 存储的，此外还支持存储为 memory, secret 或 sql 。在 Helm v3 时，社区对此做出了调整，提供了 configmap, secret 和 memory 等三种存储模式，并且默认的存储方式也变成了以 secret 进行存储。所以你可以直接通过 kubectl get secret 看到你部署的 release 。

由于 Compose 可以简单的定义基于多容器的应用程序堆栈的工作方式，并且可以通过一条命令启动应用程序，而不需要手动构建镜像和逐个启动容器，这可以大大节省开发团队的时间。

比如如果原先的 metrics 是 nginx_ingress_controller_ingress_resources_total{type="regular"} 1 那么现在将变成 nginx_ingress_controller_ingress_resources_total{class="nginx",type="regular"} 1 。这个标签的值，可以通过 -ingress-class 进行设置。

从去年 Docker 将企业服务相关的业务出售给 Mirantis 之后，Docker 将重心放在助力开发者体验上，并为此做了一系列的努力。包括 1 月份发布了 Docker Desktop v2.2 ，提供了 WSL2 的新架构，以及新的交互式 Desktop Dashboard 等特性。