一次 会话可能是你唯一能直接观察故障现场的机会。但当你退出终端的那一刻,Kubernetes 不会保留任何会话上下文——进程列表、环境变量、网络连接、临时文件,全部随容器销毁而蒸发。这不是小问题,而是生产环境排障中的系统性证据缺口。 在目标 Pod 中注入一个 ephemeral container(临时容器)。这个容器和目标容器共享 PID name...
来源:postgr.es
42
在 Kubernetes 上运行 PostgreSQL,目前社区里两个最受关注的开源 Operator 是 CloudNativePG(CNPG)和 Crunchy Data 的 Crunchy PGO。这篇文章的作者 Gabriele Bartolini 正是 CNPG 的联合创始人和核心维护者——他坦率承认自己不可能中立,但多年深耕项目让他对两者的...
来源:istio.io
30
Istio 1.30 刚刚发布,正式支持 Kubernetes 1.32–1.36。这一版最值得关注的不是某个单一大功能,而是多条线同时推进——为 AI Agent 流量量身打造的数据面代理首次亮相,Gateway API 补齐 TLS 短板,Ambient 模式啃下了 CIDR 和 XFCC 两块硬骨头,流量管理新增了命名空间级继承和统一扩展 API...
来源:istio.io
30
Istio 1.29.3 是一个以安全修复为主的补丁版本。如果你正在用 AuthorizationPolicy 做 SPIFFE 身份或命名空间匹配,或者依赖 XDS debug 端点做排障,这次升级不应拖延——两个授权绕过漏洞已被修复。此外,版本还加入了 Gateway API v1.4.1 支持、HBONE 连接窗口大小调优、AWS EKS amb...
来源:istio.io
15
Istio 1.28.7 是一个聚焦于安全与健壮性的补丁版本。如果你正在运行 1.28.x 系列,这次升级不是"可选"——里面包含两个已确认的授权绕过漏洞,以及一个影响 AWS EKS Ambient Mesh 的 kubelet 健康检查修复。下面逐项拆解关键变更,并给出升级前的实操检查清单。 这是本次最严重的安全修复(Issue #59992)。问...
来源:istio.io
12
Istio 1.30 是一个"补洞+填坑"型版本——Ambient 模式拿到了多项此前 sidecar 独占的能力,多网络和多集群场景下的一批顽固 bug 被修复,安全方面则一口气堵了四个 CVE。如果你正在评估或已经部署 Ambient,这个版本值得认真看。 Ambient 模式此前在 ServiceEntry 上只支持主机名解析,对 CIDR 地址...
来源:istio.io
18
Istio 的数据面扩展能力一直是其设计核心——从自定义认证到专用遥测采集再到请求/响应实时改写,都依赖往 Envoy sidecar 里注入自定义逻辑。但直到现在,这条路走得并不顺畅:WasmPlugin 只管 WebAssembly 扩展,想写 Lua 脚本只能绕道 EnvoyFilter,后者强大却极易配错。Istio 1.30 推出 Traff...
来源:blog.rust-lang.org
21
2025 下半年的 Rust 项目目标周期已经结束——41 个目标、13 个旗舰目标,从语言设计到编译器基础设施全面推进。不少目标将延续到 2026 周期,但有几个已经交出了阶段性答卷。本文挑出最值得关注的进展,逐个拆解。 字段投影(Field Projections)是本轮更新中信息量最大的目标。Benno Lossin 推动的 "virtual p...
来源:infoq.com
21
Microsoft 刚发布的 .NET Aspire 9.3 把开发者在本地和云端之间反复横跳的痛点狠狠戳了一轮——新增的 一键拆毁所有部署资源,Kubernetes 原生部署进入预览,Next.js 和 Vite 项目拿到了一等公民的发布支持,容器隧道默认开启,浏览器日志也能直接捕获。不过伴随这些功能而来的还有几项破坏性变更,升级前需要逐条核对。 过...
来源:kubernetes.io
26
云环境里跑 Kubernetes,Cloud Controller Manager(CCM)的路由控制器一直在默默工作——每隔固定间隔,它就把集群节点信息同步到云厂商的路由表。问题是:节点没变化,它也在同步。对于 API 调用有严格速率限制的云厂商来说,这等于在白白消耗配额。Kubernetes v1.35 引入了 特性门控,把固定间隔轮询改成基于 W...