开源项目推荐
Teleport
Teleport 是一个由 Gravitational 开源的安全访问平台,专为管理和保护对基础设施(如 SSH 服务器、Kubernetes 集群、数据库、Windows 主机、Web 应用等)的访问而设计。它通过基于身份的访问控制、强制双因素认证、无密钥访问(通过短期证书替代静态凭证)、全面的审计记录和会话回放等功能,使企业能够安全地为开发者和运维人员提供统一的访问入口,同时兼顾安全合规与开发效率。Teleport 旨在简化运维操作、加强安全策略实施,并提升跨环境的可观察性。
Kubeconform
Kubeconform 是一个高性能的开源 Kubernetes 配置验证工具,由 yannh 开发,旨在在本地或 CI 流程中快速验证 YAML 清单的语法和结构是否符合 Kubernetes 的 JSON Schema 规范。它支持多线程并行验证、缓存 schema、灵活配置本地或远程模式源,并原生支持自定义资源(CRD)。Kubeconform 默认使用由社区维护的 schema 仓库,确保对最新 Kubernetes 版本的兼容性,并提供多种输出格式,便于集成到自动化流程中,是 Kubeval 的性能增强替代方案。
Kured
Kured是一个由 Kubereboot 开发的开源工具,旨在自动、安全地管理 Kubernetes 集群中节点的重启过程。它通过监控节点上的重启标志文件(如 /var/run/reboot-required)或执行特定的哨兵命令,检测操作系统层面的更新需求。在确认需要重启时,Kured 会协调集群,确保一次仅有一个节点进行重启,避免服务中断。其工作流程包括:在重启前对节点进行 cordon 和 drain 操作,迁移运行中的 Pod;重启后自动 uncordon 节点,恢复其调度能力。此外,Kured 支持与 Prometheus 集成,可在存在活跃警报或关键 Pod 时延迟重启,增强集群的稳定性和高可用性。
Kubetui
Kubetui 是一个开源的终端用户界面(TUI)工具,专为实时监控和探索 Kubernetes 资源而设计。它提供了直观的界面,帮助开发者和运维人员高效地访问和管理应用程序及基础设施的关键信息。主要功能包括查看 Pod 列表及容器日志、监控 ConfigMap 和 Secret、探索网络相关资源、实时查看 Kubernetes 事件、支持多命名空间和上下文切换、剪贴板复制、鼠标事件支持、搜索与过滤功能,以及自定义 UI 外观等。Kubetui 采用 Rust 语言开发,强调性能和安全性,适用于 Linux、macOS 和 Windows 平台,支持通过 Homebrew、Scoop、WinGet、Chocolatey 等多种方式安装。
文章推荐
云原生环境中的镜像兼容性
本文介绍了在云原生环境中,容器镜像与主机操作系统和硬件兼容性的重要性,指出由于不同内核版本、驱动程序和系统组件差异而产生的兼容性问题,并引入了 Open Containers Initiative(OCI)兼容性规格提案及其在 Kubernetes Node Feature Discovery (NFD) 项目中的实现;借助 NFD 自动检测并报告节点的硬件和系统特性,镜像作者可在 OCI 镜像清单中声明所需的主机特性,通过客户端工具在调度前自动验证节点与镜像的匹配度,从而优化调度、提高可靠性,并在多云与混合云场景下确保电信、高性能计算等关键应用的顺利部署与运行。
先启动边车:如何避免障碍
本文介绍了 Kubernetes 中容器启动顺序问题,尤其是在采用 sidecar 模式时可能遇到主容器先启动而 sidecar 尚未就绪的情况。为解决这一问题,Kubernetes 引入了 Alpha 阶段的 “Start Sidecar First” 特性,允许用户通过 restartPolicy: Always 配置配合新的字段 startContainersFirst: true,确保在 Pod 启动时 sidecar 容器能优先运行,提升系统稳定性与初始化可靠性。该特性适用于需要 sidecar 准备就绪(如代理、认证、日志收集器)后主容器才能正常工作的场景。
云原生动态
Keycloak 26.3.0 发布
Keycloak 是一个开源的身份和访问管理(Identity and Access Management, IAM)解决方案,旨在为现代应用程序和服务提供 单点登录(SSO)、用户认证、授权和用户管理。
Keycloak 26.3.0 于 2025 年 7 月发布,带来了多项功能增强和性能优化,提升了用户、开发者和管理员的体验。主要更新包括:
2FA 恢复码:用户可生成备用验证码,防止因设备丢失而无法登录账户。
WebAuthn/Passkey 注册简化:通过应用发起的操作(AIA)支持 skip_if_exists 参数,避免重复注册。
身份提供者账户关联简化:基于 AIA 实现,简化配置和错误处理,原有自定义协议已弃用。
异步日志记录:提高吞吐量和降低延迟,优化部署效率。
实验性滚动更新:支持同一主版本下的补丁版本滚动更新,减少服务停机时间。
此外,导入、导出和迁移操作的性能也有所提升,处理大量领域时不再出现性能下降。
Argo Workflows 3.7
Argo Workflows 是一个专为 Kubernetes 上的容器原生工作流编排 而设计的开源项目,广泛用于 数据处理、CI/CD 自动化、机器学习流水线 等场景。它由 CNCF(云原生计算基金会)托管,并受到许多云原生社区和企业的广泛支持。
Argo Workflows 3.7.0 RC3 引入了 24 项新功能和 82 个修复,提升了自动化工作流的性能、灵活性和安全性。主要更新包括更智能的缓存和记忆化、多控制器锁(信号量和互斥锁)、动态命名空间并行度控制、非 root 用户执行、工作流提交前可视化预览、API 支持按时间戳过滤工作流,以及 UI 改进如支持 Markdown 描述和参数预填充。此外,重试机制和并行处理能力也得到了增强。这些改进使得 Argo Workflows 更适用于大规模 CI/CD、机器学习流水线和跨命名空间的复杂自动化任务。
关于KubeSphere
KubeSphere (https://kubesphere.io)是在 Kubernetes 之上构建的开源容器平台,提供全栈的 IT 自动化运维的能力,简化企业的 DevOps 工作流。
KubeSphere 已被 Aqara 智能家居、本来生活、东方通信、微宏科技、东软、新浪、三一重工、华夏银行、四川航空、国药集团、微众银行、紫金保险、去哪儿网、中通、中国人民银行、中国银行、中国人保寿险、中国太平保险、中国移动、中国联通、中国电信、天翼云、中移金科、Radore、ZaloPay 等海内外数万家企业采用。KubeSphere 提供了开发者友好的向导式操作界面和丰富的企业级功能,包括 Kubernetes 多云与多集群管理、DevOps (CI/CD)、应用生命周期管理、边缘计算、微服务治理 (Service Mesh)、多租户管理、可观测性、存储与网络管理、GPU support 等功能,帮助企业快速构建一个强大和功能丰富的容器云平台。