云原生热点
OpenFGA 成为 CNCF 孵化项目
OpenFGA 是一款开源的细粒度授权系统(Authorization Engine),专为现代分布式系统与云原生场景设计。它在 2025 年正式成为 CNCF 的孵化级项目,标志着其在 ReBAC(关系型访问控制)和云原生授权领域取得重要里程碑。
项目由 Okta 团队发起,自 2022 年 9 月进入 CNCF Sandbox 以来,已在数百家企业中落地,并吸引了活跃且持续增长的社区贡献。
作为一个独立的外部授权服务,OpenFGA 借助 API 与多语言 SDK 将访问控制逻辑从应用中解耦,实现一致、可审计、可扩展的权限管理能力。CNCF TOC 对其技术成熟度、社区活力及生产实践给予高度认可,期待 OpenFGA 成为云原生安全架构中的关键组件。
Longhorn v1.10.0 发布:云原生存储管理更高效
Longhorn 是一个由 CNCF 托管的开源云原生分布式块存储系统,专为 Kubernetes 而设计。它通过轻量级微服务架构,为每个 Kubernetes 卷提供高可用的副本保护,并实现快照、备份、恢复、在线扩容等数据管理能力。
Longhorn v1.10.0 是一次重要的云原生存储更新,重点强化了 V2 数据引擎的性能和资源效率,例如通过新增“中断模式”来降低空闲 CPU 消耗、优化副本重建以减少带宽竞争、支持全复制与链接克隆以及实现在线扩容等能力。该版本还引入全新的统一全局配置格式,简化了 V1 与 V2 引擎的管理操作。在网络与调度层面,它新增了对单栈 IPv6 的支持、整合了 CSIStorageCapacity 以提供存储感知调度,并允许通过调整备份块大小来兼顾速度与空间占用。此外,此版本正式清理了旧版 API,进一步提升了系统的可维护性。
技术实践
文章推荐
避开 7 个常见 Kubernetes 误区:从实战经验看如何构建更稳健的集群
这篇文章介绍了 7 个常见的 Kubernetes 使用误区及其规避方法,包括忽略 CPU/内存的 requests 与 limits 配置、缺失存活探针和就绪探针、过度依赖 kubectl logs 而不做集中式日志与可观测性建设、在开发与生产环境中使用几乎相同的配置、长久遗留无用资源不清理、在还未理解基础网络模型前就急于上服务网格等复杂网络方案,以及对安全与 RBAC 配置重视不足等问题。
作者结合自身踩坑经历,给出如合理设置资源配额、设计健康检查、引入日志与指标系统、为不同环境做差异化配置、通过标签和策略定期清理资源、循序渐进演进网络架构,以及通过 RBAC、Pod 安全策略和固定镜像版本提升安全性的具体建议,帮助读者构建更稳定、安全、可运维的 Kubernetes 集群。
Kubernetes 日志可视化利器:深入访谈 KHI 背后的设计思路
这篇文章介绍了 Kubernetes History Inspector (KHI) 这个开源工具的设计背景、功能与发展历程 — 在该播客中,主持人与 Kakeru Ishii(KHI 的发起者)探讨了 KHI 如何将来自 Kubernetes 集群的审核与日志数据可视化为时间线与集群图谱,以支持跨组件故障诊断,同时聊到了该工具为何选择开源、如何构建 Web UI 与图形视图、以及团队在真实运维中遇到的问题。
Kubernetes 如何成为新的 Linux
这篇文章介绍了 Kubernetes 是如何从一个“草创的编排器”发展成为企业级标准,进而演化为类似 Linux 在早期的地位——文章指出,早期大型银行需自行构建 Linux 内核,而如今几乎所有人都运行通用发行版;同样地,现在组织也越来越不再自行开发 Kubernetes 控制平面,而是采用标准化的 Kubernetes 平台。与此同时,以 Amazon Web Services 为例,其将项目如 Karpenter 和 KRO 捐赠给 Kubernetes 社区,反映出它在开源贡献方向上也发生了从“为自己构建”向“为生态系统构建”的转变。
开源项目推荐
Kuma
Kuma 是一个基于 Envoy 的开源服务网格控制平面,属于 CNCF Sandbox 项目,支持在 Kubernetes 和虚拟机/裸金属环境中部署,面向单集群与多集群、多云、多数据中心的单区/多区(multi-zone) 场景。它提供统一的服务发现、流量管理、安全(mTLS、零信任)、可观测性等策略能力,并支持在同一控制平面上运行多个隔离网格(multi-mesh)以服务不同团队与业务,从而简化微服务间通信管理。
Kubetail
Kubetail 是一个用于 Kubernetes 集群的实时日志查看工具,可在终端或浏览器中运行,支持本地或集群内部署。它能够合并同一工作负载下所有容器的日志按时间顺序展示,基于 Kubernetes API 直接拉取日志,无需依赖外部日志系统,并支持按工作负载、时间范围和节点属性等多维度筛选,帮助快速排查和分析容器日志问题。
Kops
Kops 是一个用于在云环境中创建、管理和升级 Kubernetes 集群的开源工具,支持 AWS、GCE、DigitalOcean 等多种平台。它通过声明式配置和自动化流程简化集群的部署与维护,提供高可用控制平面、滚动升级、节点管理、网络与安全配置等能力,被广泛用于生产级 Kubernetes 集群的构建与运维。
Kftray
Kftray 是一个用于在本地系统托盘中管理 Knative Functions 的轻量级工具,提供可视化界面来查看、启动、停止和调试函数运行时环境。它让开发者无需频繁使用命令行即可便捷地管理本地 Knative Functions 开发流程,从而提升函数开发与测试效率。
关于KubeSphere
KubeSphere (https://kubesphere.io)是在 Kubernetes 之上构建的容器平台,提供全栈的 IT 自动化运维的能力,简化企业的 DevOps 工作流。
KubeSphere 已被 Aqara 智能家居、本来生活、东方通信、微宏科技、东软、新浪、三一重工、华夏银行、四川航空、国药集团、微众银行、紫金保险、去哪儿网、中通、中国人民银行、中国银行、中国人保寿险、中国太平保险、中国移动、中国联通、中国电信、天翼云、中移金科、Radore、ZaloPay 等海内外数万家企业采用。KubeSphere 提供了开发者友好的向导式操作界面和丰富的企业级功能,包括 Kubernetes 多云与多集群管理、DevOps (CI/CD)、应用生命周期管理、边缘计算、微服务治理 (Service Mesh)、多租户管理、可观测性、存储与网络管理、GPU support 等功能,帮助企业快速构建一个强大和功能丰富的容器云平台。