现状 当前，云原生已经成为应用开发者在选择架构设计时的首选。云原生让应用开发者可以将所有精力都集中在开发业务逻辑本身，这极大降低了应用开发者的负担。 而应用系统的敏捷性、扩展性、可靠性、高可用等，则由基础设施软件和运维团队共同承担。一方面，运维团队需要利用基础设施软件，快速响应业务系统提出的部署、扩容、迁移等需求，另一方面，也要时刻保持业务系统和基础设施软件的稳定运行。这为基础设施软件和运维团队都

什么是 OPA？ 这是一个始于 2016 年的项目，旨在统一不同技术和系统的策略执行。今天，OPA 被科技行业内的巨头们所使用。例如，Netflix 使用 OPA 来控制对其内部 API 资源的访问。Chef 用它来为他们的终端用户产品提供 IAM 功能。此外，许多其他公司，如 Cloudflare、Pinterest 等，都使用 OPA 在他们的平台上执行策略（如 Kubernetes 集群）。

前言 这篇内容篇幅比较长，如果不想深入探讨或时间有限，这是全文简述： 在默认设置下，扩展 Kubernetes 集群中的 pod 和节点可能需要几分钟时间。 了解如何调整集群节点的大小、配置水平和集群自动缩放器以及过度配置集群以加快扩展速度。 目录 当自动伸缩的 Pod 报错 Kubernetes 的 Cluster Autoscaler 是如何工作的 探索 Pod 自动伸缩提前期 为 Kuber

本文译自 Istio 官网。 当用户将他们的服务转移到Istio服务网格中运行时，他们通常会惊讶地发现，控制平面默认会观察和处理集群中所有命名空间中的所有Kubernetes资源。这对于拥有大量命名空间和部署的大型集群，甚至对于拥有快速流动资源（例如Spark作业）的中等规模的集群来说，都可能是一个问题。 我们需要一种方法来动态地限制作为网格一部分的命名空间集，以便Istio控制平面只处理这些命名

本文为翻译文章，点击查看原文。 在这篇文章中，我会介绍在生产环境部署多副本应用时会碰到的一个经典问题： 数据库 schema 更新。 接下来将会讨论几种可能的解决方案，从简单到复杂。最后会总结一下我是如何在生产环境解决这个问题的：使用 Kubernetes Job 和 init container。 了解了这些解决方案（最重要的是谨慎的设计数据库 schema ）你可以比较从容的应对应用升级时的数

本文译自在 CNCF 官网上发布的博客 Networking with a service mesh: use cases, best practices, and comparison of top mesh options，有删节。作者是 Amir Kaushansky，ARMO 公司的产品 VP。 服务网格技术是随着微服务结构的普及而出现的。由于服务网格促进了网络与业务逻辑的分离，它使你能够

本文译自 Istio 社区官方博客 Announcing the results of Istio’s first security assessment。 Istio 服务网格已在各行各业获得广泛的生产应用。该项目的成功，以及其在基础设施中执行关键安全策略的重要用途，都需要对与该项目相关的安全风险进行公开和中立的评估。 为了实现这一目标，Istio 社区去年与 NCC 集团签约，对该项目进行第三

本文译自 DevSecOps: the Key to Securing Your Supply Chain in a Multi-Cloud Threatscape。 主要收获 可以将最近的供应链攻击作为 DevSecOps 的一个试金石，我们可以看到在 DevOps 中确实需要一个改进的安全框架。 随着网络安全的关注度的提升以及 IT 安全支持的激增，企业应该首先评估他们的 DevOps 做法。

从互联网（或可信镜像仓库库以外的任何地方）拉取未知镜像会带来风险——例如恶意软件。但是还有其他很好的理由来维护单一的可信来源，例如在企业中实现可支持性。通过确保镜像仅来自受信任的镜像仓库，可以密切控制镜像库存，降低软件熵和蔓延的风险，并提高集群的整体安全性。除此以外，有时还会需要检查镜像的 tag，比如禁止使用 latest 镜像。 这今天我们尝试用“策略即代码”的实现 OPA 来实现功能。 还没

还不知道 Pipy 是什么的同学可以看下 GitHub 。 Pipy 是一个轻量级、高性能、高稳定、可编程的网络代理。Pipy 核心框架使用 C++ 开发，网络 IO 采用 ASIO 库。 Pipy 的可执行文件仅有 5M 左右，运行期的内存占用 10M 左右，因此 Pipy 非常适合做 Sidecar proxy。 Pipy 内置了自研的 pjs 作为脚本扩展，使得Pipy 可以用 JS 脚本根

本文翻译自 Bilgin Ibryam 的文章 A Framework for Open Source Evaluation。 如今，真假开源无处不在。最近开源项目转为闭源的案例越来越多，同时也有不少闭源项目（按照 OSI 定义）像开源一样构建社区的例子。这怎么可能，开源项目不应该始终如此吗？ 开源不是非黑即白，它具有开放性、透明、协作性和信任性的多个维度。有些开源是 Github 上的任何项目，

本文译自 Istio 官方博客。 这是 Istio 在 2021 年发布的第三个版本，我们要感谢整个 Istio 社区，特别是来自红帽的发布经理 John Wendell、来自 Solo.io 的 Ryan King 和来自英特尔的 Steve Zhang，感谢他们帮助 Istio 1.11.0 发布。该版本正式支持 Kubernetes 1.18.0 到 1.22.x。下面是该版本的一些亮点。

本文译自 The Future of Microservices? More Abstractions，作者是 Container Solutions 的主编 Charles Humble。 微服务是在 10 年前出现的，是软件融合进化的例子之一。虽然这个词可以归功于软件咨询公司 Thoughtworks 的 James Lewis 和 Martin Fowler，Adrian Cockcroft

本文译自 Takeaways from Gartner’s 2021 Hype Cycle for Cloud Security report。 Gartner 在该集团的最新预测中称，2021 年全球公有云服务将增长 26.2%，见 Forecast: Public Cloud Services, Worldwide, 2019-2025, 2Q21 Update。 2020 年，云计算使 IT

本文翻译自 gitpod 的 blog 文章 Dev environments as code。 想象一下，仅在十年前，运维人员还在手动部署、配置和维护软件系统，这大大消耗了他们宝贵的生命和精力。 而在今天，微服务架构时代，软件系统变得更加复杂，尝试手动维护操作和部署都变的不再可能。在我们进行 “DevOps” 或 “基础设施即代码” 的实践时，发现声明式的描述软件系统对于自动和持续地部署应用程序

本文译自 Postman’s Series D Funding and the API-First World。 译者评论 没错，这正是那个被人所熟知，在程序员中广为流传的 Postman，五年前我曾在被一个同事推荐 Chrome 中安装过一个插件，专门用来调试 API 的，这个插件就是 Postman。 Postman Chrome App 正文 我很高兴地宣布，今天对 Postman 来说是一

本文翻译自 Kubernetes Cloud Clusters Face Cyberattacks via Argo Workflows。 译者点评 行业中一直不缺安全的声音，安全也是永远绕不过的槛。再优雅再先进的架构设计，无法保障安全也是一文不值，甚至干系到企业的存活。 近期在云原生领域，安全也是被屡次被提起重视。从 Istio 首次安全评估结果公布、CNCF 云原生安全白皮书发布美国国家安全局

本文译自2021 European Tech Hiring Trends，作者The Chief I/O。 译者评论 官方钦定:码农属于新生代农民工如今不再是程序员的调侃了 最近在社区里看到很多人在讨论国家开始不给大型互联网企业减税，互联网公司股价普跌，大部分距离年内最高点腰斩，个人所得税成为工薪税，程序员被划归为”新生代农名工“，”贫贱不能移“等话题。让我们一起来看看欧洲的IT招聘趋势还有薪资水

8 月 22 日，在大连市腾飞园区 5 号楼一楼世达教育，云原生社区 meetup 大连站正式拉开了序幕。此次活动是大连第一次举办如此规模的云原生技术大会，现场到场人数 70+，线上观看人数 700+。来自大连多家头部公司的技术专家围绕云原生，给线上线下的观众奉献了一场精彩的技术盛会。 让我们再次回顾一下此次 meetup！ 讲师话题 《Connecting,Contorlling and Obs

编者注：本文译自 How Unnecessary Complexity Gave the Service Mesh a Bad Name。 主要收获 采用服务网格有巨大的价值，但必须以轻便的方式进行，以避免不必要的复杂性。 在实施服务网格时，要采取务实的方法，与技术的核心功能保持一致，并注意分散注意力的问题。 服务网格的一些核心特征包括标准化监控、自动加密和身份识别、智能路由、可靠的重试和网络可扩