开源项目推荐
mcp-server-kubernetes
mcp-server-kubernetes 是一个实现了模型上下文协议(MCP)的服务器,旨在通过自然语言与 K8s 集群进行交互。它支持连接到 K8s 集群,列出所有 Pod、服务、部署和节点,创建、描述、删除 Pod,以及获取日志等功能。该服务器采用无代理方式进行流量捕获,具有高透明度和低开销,适合在生产环境中使用。
Kubeshark
Kubeshark 是一款专为 K8s 环境设计的流量分析工具,它不仅能够捕获 K8s 集群中的 API 流量,还能提供详细的协议级别可视化,帮助开发者和运维人员深入了解微服务之间的通信。Kubeshark 支持实时监控进出容器、Pod、节点以及整个集群的所有流量和有效载荷,允许用户深入分析 HTTP、gRPC、DNS、数据库等不同协议的请求和响应数据。它提供了强大的流量过滤和查询功能,可以帮助快速排查故障、优化性能并增强安全性。
Kubero
Kubero 是一个自托管的 PaaS 平台,旨在为 K8s 用户提供类似 Heroku、Netlify 等服务的体验。它支持 GitOps 流程,允许用户通过 Git 提交来自动部署应用程序。此外,Kubero 提供了应用程序管理、自动缩放和监控等功能,简化了应用程序的部署和运维过程。
Scope
Weave Scope 是一款开源的可视化监控工具,专为 Docker 和 K8s 环境设计。它能够自动生成应用程序的拓扑图,提供自上而下的应用视图和整个基础架构视图,帮助用户实时诊断和监控分布式容器化应用程序。通过 Weave Scope,用户可以轻松查看容器、Pod、主机等资源的状态、资源使用情况和应用拓扑,还支持直接通过浏览器进入容器内部进行调试。
文章推荐
深入探索 kube-scheduler-simulator
K8s 官方博客于 2025 年 4 月 7 日发布了关于 kube-scheduler-simulator 的介绍。kube-scheduler-simulator 是一个用于模拟 K8s 调度器行为的开源工具,它允许用户在不影响生产环境的情况下测试和分析调度决策。通过模拟不同的资源约束、亲和性规则、反亲和性规则以及调度器插件,用户可以全面了解调度器的决策过程并优化集群的资源分配。此工具对于开发者和运维人员来说非常有价值,因为它能帮助他们在部署新的调度策略或插件之前,先在受控环境中进行验证,从而避免潜在的生产环境问题。此外,模拟器还支持多种调度策略的对比,提升了 K8s 集群的可预测性和可靠性。
深入了解 Gateway API 的推理扩展
kgateway 发布了一篇深入探讨 Gateway API 推理扩展的文章,详细介绍了该扩展如何增强 Kubernetes 环境中 AI 推理流量的路由功能。该扩展引入了两个新的自定义资源定义(CRD):InferenceModel 和 InferencePool,允许根据模型名称进行路由,并支持模型的增量发布和流量拆分。通过与模型服务器框架(如 vLLM 和 Triton)的集成,kgateway 提供了智能的请求调度和负载均衡,提高了大语言模型(LLM)推理的性能和可靠性。
KubeSphere 网关组件(ingress-nginx)安全漏洞公告
近期,Kubernetes 官方维护的 ingress-nginx 控制器被发现存在多个高危安全漏洞,包括权限提升、信息泄露、安全绕过和目录遍历等问题。这些漏洞影响了 KubeSphere 和 KSE 的多个版本,攻击者利用这些漏洞,可能在未经授权的情况下执行任意代码、访问敏感信息,甚至完全控制集群。建议受影响的用户立即升级 ingress-nginx 至 v1.11.5 或 v1.12.1 及以上版本,以确保集群安全。
云原生动态
Kubeflow 1.10 发布
Kubeflow 1.10 于 2025 年 3 月发布,带来了多项关键更新,提升了机器学习工作流的灵活性和可扩展性。
主要新特性包括:
-
Trainer 2.0:增强了模型训练功能。
-
Spark Operator 成为核心组件:简化了大规模数据处理的集成。
-
Kubernetes 和容器安全性增强:符合 CISO 标准,提高了安全性。
-
大语言模型微调的超参数优化:优化了大规模语言模型的训练过程。
-
管道中的循环并行性:支持在管道中并行执行循环任务。
-
Katib 的新参数分布:提供了更多的超参数搜索选项。
-
Spark Operator 的新安全上下文和无根 Istio-CNI 集成:加强了安全性和兼容性。
这些改进旨在提升 Kubeflow 的用户体验和系统性能,支持更复杂和大规模的机器学习应用。
Kubewarden 1.23 发布
近日,Kubewarden 1.23 版本发布,主要增强了安全性和用户体验。新版本通过启用双向 TLS(mTLS)加强了准入 webhook 的安全性,确保只有授权的客户端能够访问。同时,全面支持 Kubernetes 的 Pod 安全准入(PSA)"restricted"配置文件,帮助用户强化集群安全。此外,更新了 kubectl 工具,改进了图像拉取过程的用户反馈,并更新了依赖项以提升稳定性。
关于KubeSphere
KubeSphere (https://kubesphere.io)是在 Kubernetes 之上构建的开源容器平台,提供全栈的 IT 自动化运维的能力,简化企业的 DevOps 工作流。
KubeSphere 已被 Aqara 智能家居、本来生活、东方通信、微宏科技、东软、华云、新浪、三一重工、华夏银行、四川航空、国药集团、微众银行、紫金保险、去哪儿网、中通、中国人民银行、中国银行、中国人保寿险、中国太平保险、中国移动、中国联通、中国电信、天翼云、中移金科、Radore、ZaloPay 等海内外数万家企业采用。KubeSphere 提供了开发者友好的向导式操作界面和丰富的企业级功能,包括 Kubernetes 多云与多集群管理、DevOps (CI/CD)、应用生命周期管理、边缘计算、微服务治理 (Service Mesh)、多租户管理、可观测性、存储与网络管理、GPU support 等功能,帮助企业快速构建一个强大和功能丰富的容器云平台。