#代码大瘦身 #DRA #GPU
K8s发布1.31版，终于完成150万行代码瘦身大工程，添加DRA 动态资源分配能弹性调度GPU支持AI训练

K8s问世十年，早期许多关键代码的存储路径，分散在五大云端供应源，包括Google云、AWS、Azure、OpenStack和vScphere，也内置到许多内置组件中，因此，早在K8s第七版时，K8s项目成员就开始积极的想要将这些涉及特定厂商的路径从K8s内核代码中移除，转移到外部，来提高内核代码对厂商的相依性。

但这是一个涉及150万行代码的超大工程，经过了24个版本（以每年四版来推算，至少花了6年），终于在1.31版（代号，转移了最后一部分的代码，也为此延伸出了四大子系统，云端控制器管理员、API服务器网络代理、kubelet凭证供应商插件、存储插件搬迁到CSI。K8s内核代码移除了150万行代码之后，二进位档因此大幅瘦身了40%。从1.31版开始，K8s内核终于成为一个完全厂商中立的平台，也更容易与各种不同的云端供应商集成。除了上述四大子系统之外，K8s云端供应商工作小组实现这个里程碑之后，下一个目标是优化K8s对混合环境的支持，包括跨私云和公云的集群运作，让异质环境集成更简化，另外要创建一个可以涵盖更多云端供应商的测试框架。

除了大瘦身之外，1.31版有一项重要的新特色是添加了Dynamic Resource Allocaiton（动态资源分配，简称DRA）的API，1.31版是第一个支持这项功能的版本。可以通过API来请求和共享跨不同Pod集群中的容器，而且是一个通用资源的调度工具，可以调度各种常见硬件资源，包括了GPU或是各种网络加速硬件。可以使用DRA来调度GPU资源，甚至快速因应不同工作负载需求来分配所用的硬件GPU支持，有助于因应AI模型训练，如大型LLM训练运算需要的算力调度，提供更多也更弹性的工作负载调度安排。

#GenAI开发 #Tanzu
云原生开发平台Tanzu推出10新版，内置Spring AI开发框架要抢GenAI开发需求

最近，博通发表了云原生开发框架Vmware Tanzu的第10版，最大特色是添加了一套AI解决方案，包括GenAI应用开发框架Spring AI的支持，提供Java API来存取多种LLM模型。也推出了一款Java打造的AI中间件，可串接上百款开源或商用LLM，也能控管对这些模型的存取。AI中间件其中一项特色是提供了虚拟密钥功能，可以创建一套通用的角色权限控管，按角色、团队来限定他们所能使用的LLM模型。这套AI解决方案也提供了一项模型与App评估功能，可用来量测和观察GenAI应用和模型的行为，来评估成效和准确度。

#容器管理VM #OpenStack
红帽正式推出OpenShift上的OpenStack服务，可直接管理原生OpenStack服务的Pod集群

以VM工作负载管理为主的OpenStack，这几年持续往容器管理架构靠拢，除了内置容器管理能之外，红帽容器管理平台OpenShift 去年发表了OpenStack服务的集群管理功能预览版，在今年8月底正式推出。这项功能可以在容器管理环境中，提供OpenStack工作负载，可供企业以实体机器部署的OpenStack服务，转移到容器环境中，不用改变原有OpenStak运算节点。转移到OpenShift后，可以用来提高OpenStack节点的扩充性，也能将OpenShift的可观察性机制，整合到OpenStack节点中，来强化混合容器和虚拟机混合架构的透明度。

#容器安全 #服务网格
服务网格项目Linkerd释2.16新版，添加IPv6支持和零信任稽核模式，可纪录但不阻挡低风险的存取行为

距离前一版发布才半年，服务网格项目Linkerd很快又发布2.16新版，这个版本也有不少新功能。包括添加了IPv6的支持，可以支持单用IPv6或混用IPv4/IPv6的K8s集群。另外，Linkerd的零信任授权政策机制，也添加了稽核模式（Audit mode），来强化对于服务网格间网络流量的控管。Linkerd的SideCar设计，原本就可以采取默认拒绝的微分区控管政策，来创建零信任模式的控管边界，来强化K8s集群间的网络安全。添加加的稽核模式，可以对违反零信任政策的行为，采取留下Log纪录但不禁止的做法，可以让零信任架构多了一种「低风险行为追踪」的控管选择。2.16版也增加了更多路由矩阵监测能力，例如可以纪录每一趟路由的成功率，严惩。  

#OSX映像档 #Docker
苹果以违反著作权，要求75万人用的Docker-OSX映像档下架

8月底，苹果以侵犯著作权为由，要求Docker公司下架了Docker Hub账号下的Docker-OSX存储库。这个存储库是由代号Sick.Codes的开发人员创建的macOS VM容器，可以让开发者利用Docker在Windows或Linux平台上运行macOS，用以测试应用，但不用购买macOS授权，也有安全研究人员用这方法来研究macOS的漏洞。这个存储库在GitHub上的项目，超过75万人下载，获得4万多颗星。不过，在8月底，苹果以违反《数位千禧年版权法案》（Digital Millenium Copyright Act，DMCA）为由要求下移除。Docker出示了代表苹果的律师事务所的电子邮件，指出苹果对macOS的安装器和安装拥有独家权利，Docker-OSX的映像档则是在未经授权下重制苹果内容，因此而下载。

#容器成本追踪 #FinOPs
IBM宣布并购K8s成本控管平台Kubecost，强化FinOps套装的容器成本管理能力

瞄准企业K8s维运成本控管需求，IBM最近宣布并购了K8s成本即时监控平台商kubecost，整合到IBM的FinOps套装产品中，来搭配跨云成本控管功能，也能用AI自动优化云端性能。随着企业越来越依赖K8s，相关维运成本的控管也成了新的挑战，Kubecost可以提供容器层级的成本管理，可以从集群外部，及时了解K8s集群的CPU、内存、存储用量、网络用量的运作成本。也可以针对AP或团队设置预算、使用模式和告警条件，在预算用完前通知开发和维运团队。并购后，Kubecost可以将IBM的FinOps成本管理延伸到K8s环境中，提供单一Pod集群，命名空间或是单一工作负载的成本透明度，作为后续优化调整之用。创立于2019年的Kubecost，目前有超过1万2千家企业与组织采用。内核所用的K8s成本监控机制则以OpenCost项目开源发布。

：Docker,Kubecost,红帽

更多新闻：

• AWS打造的新一代K8s自动扩充工具Karpenter发布了1.0版，主打超快启动，可扩充支持多规格
• Red Hat修补OpenShift两项重大层级的漏洞CVE-2024-45496、CVE-2024-7387，这是可供运行任意命令或提高权限的漏洞。
• Docker Desktop在9月中修补两项高风险层级的漏洞CVE-2024-8695、CVE-2024-8696，这是可能遭黑客远程运行任意代码的漏洞。

：王宏仁