KUNGFU TECH

0
0
Lập trình
NM
Nguyen Minhtamdehmivor

Bitnami Thông Báo Thay Đổi: Tránh Gián Đoạn và Chi Phí Bất Ngờ

Đăng vào 21 giờ trước

• 6 phút đọc

Chủ đề:

#docker#devops#kubernetes#bitnami

Tóm tắt

  • Bitnami đang thu hẹp quyền truy cập công khai vào các hình ảnh và tạm dừng cập nhật cho nhiều thành phần biểu đồ. Dự kiến sẽ có gián đoạn khi cửa sổ chuyển đổi bắt đầu vào ngày 28 tháng 8 với việc xóa danh mục công khai cuối cùng vào ngày 29 tháng 9.
  • Các rủi ro lớn nhất:
    • Kubernetes ImagePullBackOff khi khởi động lại hoặc trong quá trình mở rộng tự động,
    • Hình ảnh cũ/không được vá lỗi (CVE drift),
    • Sự sai lệch biểu đồ và các phụ thuộc biểu đồ con có thể khiến việc nâng cấp gặp khó khăn.
  • Chúng tôi đang xuất bản CREs (Common Reliability Enumerations) để giúp bạn nhanh chóng xác định rủi ro liên quan đến Bitnami và giải quyết chúng.

Tín dụng: stonesabe4 trên reddit

Tại sao Bitnami quan trọng?

Trong nhiều năm, hình ảnh và biểu đồ Helm của Bitnami đã trở thành con đường hàng đầu để chạy các ứng dụng phổ biến trên Kubernetes. Hình ảnh được duy trì tốt, mặc định hợp lý và cài đặt Helm dễ dàng. Nhiều nhóm đã khóa các hình ảnh Bitnami trong các triển khai, quy trình CI và biểu đồ nội bộ.

Những thay đổi sắp tới

Bitnami đang thực hiện một số thay đổi sau khi được Broadcom mua lại và tập trung lại vào mô hình đăng ký.

Thay đổi danh mục

Các kho chứa container đang trải qua một sự thay đổi lớn:

  1. Kho công khai hiện tại docker.io/bitnami sẽ bị xóa.
  2. Một kho mới docker.io/bitnamisecure sẽ chứa các hình ảnh cộng đồng được bảo mật, nhưng có một điều kiện. Nó chỉ chứa các thẻ mới nhất và các hình ảnh này chỉ dành cho phát triển.
  3. Các hình ảnh container hiện tại sẽ được chuyển sang một kho mới docker.io/bitnamilegacy, nhưng sẽ không nhận được cập nhật thêm.

Biểu đồ ngừng cập nhật

Các thành phần biểu đồ Helm được xây dựng trước của Bitnami sẽ không được cập nhật nữa, vì vậy mặc định của chúng sẽ tiếp tục trỏ đến các hình ảnh cũ; bạn sẽ cần ghi đè các kho hình ảnh/thẻ hoặc áp dụng các lựa chọn thay thế.

Gián đoạn và cửa sổ cắt đứt

Bitnami đã lên kế hoạch cho các gián đoạn 24 giờ đối với các hình ảnh đã chọn. Đối với mỗi gián đoạn đã lên lịch, mười hình ảnh container từ docker.io/bitnami sẽ bị ngừng hoạt động trong 24 giờ. Các ứng dụng cụ thể bị ảnh hưởng sẽ được chia sẻ vào ngày bắt đầu gián đoạn. Cắt đứt cuối cùng sẽ diễn ra vào ngày 29 tháng 9.

Thời gian ngừng hoạt động của Bitnami Repo

Ai sẽ bị ảnh hưởng?

Nếu bạn sử dụng bất kỳ thứ gì sau đây, hãy đọc tiếp:

  • Thẻ hình ảnh Bitnami đã khóa hoặc chưa khóa (ví dụ: docker.io/bitnami/postgresql:13.x, :latest) trong Deployments/StatefulSets/Jobs.
  • Biểu đồ dựa trên Bitnami trong helmfile/Argo CD/Flux pipelines.
  • Quy trình CI kéo các công cụ Bitnami (kubectl, kubectl-helm, hình ảnh cơ sở dữ liệu, v.v.)

Tác động sẽ là gì?

  • Kubernetes ErrImagePull / ImagePullBackOff khi khởi động lại pod, mở rộng quy mô, xả nút hoặc triển khai mới.
  • Khởi động lại bom hẹn giờ - Các pod đang chạy trông có vẻ ổn cho đến lần kéo tiếp theo (rồi thất bại).
  • Sự sai lệch bảo mật - Các hình ảnh cũ/lưu trữ không còn nhận được bản sửa lỗi và dẫn đến tích lũy CVE.
  • Sự sai lệch biểu đồ - Các mặc định tham chiếu đến các kho/thẻ không còn được cập nhật dẫn đến việc nâng cấp thất bại hoặc sự khác biệt âm thầm.

Đánh giá tác động thủ công

Dưới đây là một vài bước bạn có thể thực hiện để hiểu rõ về mức độ tiếp xúc của bạn và giảm thiểu rủi ro liên quan:

  1. Kiểm kê hình ảnh:

    Copy 
    kubectl get pods -A -o json | jq -r '..|.image? // empty' | sort -u | grep -i bitnami

  2. Tìm kiếm cấu hình và biểu đồ: tìm kiếm trong các helmfiles/values/overlays của bạn cho bitnami và các thẻ đã khóa.

Đánh giá tự động: Các CRE mới để hỗ trợ

Chúng tôi đang xuất bản một bộ các Common Reliability Enumerations (CREs) tập trung để giúp bạn phát hiện các vấn đề:

  • PREQUEL-2025-0102 (Kéo hình ảnh Bitnami đã ngừng hoạt động) - Phát hiện các khối lượng công việc kéo các hình ảnh Bitnami dự kiến sẽ bị xóa hoặc chuyển đi.
  • PREQUEL-2025-0103 (Kéo hình ảnh Bitnami không được duy trì) - Phát hiện các khối lượng công việc kéo từ kho lưu trữ di sản không được duy trì.
  • PREQUEL-2025-0104 (Kéo hình ảnh chỉ mới nhất không sản xuất) - Phát hiện các khối lượng công việc kéo hình ảnh từ kho lưu trữ chỉ mới nhất không sản xuất.
  • PREQUEL-2025-0105 (Triển khai liên kết với hình ảnh Bitnami đã ngừng hoạt động) Tìm kiếm các triển khai tham chiếu đến các vị trí hình ảnh đã ngừng hoạt động.

Các CRE này thân thiện với cụm và quy trình: chạy chúng trước khi triển khai (CI), trong giai đoạn thử nghiệm, và định kỳ trong môi trường sản xuất để giải quyết các vấn đề và đảm bảo không xảy ra sự suy giảm.

Sử dụng Prequel để phát hiện rủi ro Bitnami trước khi chúng phá vỡ sản xuất

Prequel là nền tảng phát hiện vấn đề độ tin cậy doanh nghiệp (từ nhóm đứng sau các dự án mã nguồn mở Preq và CRE). Nó chạy các CRE liên tục, xem xét và tương quan các sự kiện/logs/cấu hình cụm, đồng thời cung cấp các giải pháp hướng dẫn.

Tại sao chọn Prequel (so với làm điều này bằng tay)

  • Thư viện CRE lớn hơn độc quyền bao gồm hàng trăm công nghệ phổ biến do Prequel Reliability Research Team (PRRT) duy trì.
  • Động cơ phát hiện phân tán kết nối các điểm trên các nút và cụm.
  • Giao diện web với quy trình làm việc hướng dẫn cho việc điều tra và hợp tác.
  • Tích hợp sâu (theo dõi sự cố, trò chuyện, CI/CD).
  • Control plane để quản lý quy tắc, cảm biến và triển khai.

Bạn có thể sử dụng Prequel để quét liên tục các rủi ro này và nhiều rủi ro khác. Đăng ký dùng thử miễn phí 30 ngày. Không cần thẻ tín dụng.

Xem trước danh mục quy tắc Prequel

Các tùy chọn di chuyển rủi ro Bitnami thực tế

Khi bạn hiểu rõ mức độ tiếp xúc của mình thông qua phương pháp tự động hoặc thủ công, có một số bước bạn có thể thực hiện:

  • Xác định các kho mới - Đánh giá các lựa chọn thay thế như Docker Official hoặc Hardened Images, Chainguard, để xem cái nào phù hợp với nhu cầu và ngân sách của bạn.
  • Gương trước, sau đó tái cấu trúc - Chỉ định các hình ảnh bitnami vào một gương kho lưu trữ riêng tư để kéo nhanh hơn và không bị cắt đứt, sau đó thay thế các hình ảnh/biểu đồ theo kế hoạch của bạn.
  • Khóa bằng digest - Sử dụng các digest không thể thay đổi để khóa chính xác hình ảnh bạn muốn, không giống như các thẻ có thể di chuyển/bị xóa.
  • Tự động hóa cổng - Thất bại khi xây dựng khi các CRE phát hiện việc kéo Bitnami đã ngừng hoạt động trong các manifests hoặc quy trình.
  • Chứng minh trong giai đoạn thử nghiệm - Ép buộc một lần khởi động lại cuộn trước khi cửa sổ cắt đứt; xác minh việc kéo hình ảnh và các cổng sẵn sàng.
  • Tài liệu các mặc định mới - Đặt kho/tag/digest và tần suất vá mới ở nơi mà nhóm bạn không thể bỏ lỡ.

Kết luận

Những thay đổi trong hệ sinh thái như thế này có thể phá vỡ sản xuất ngay hôm nay, hoặc phá vỡ trong lần nâng cấp tiếp theo của bạn. Ngày càng khó khăn để theo kịp tất cả các rủi ro ảnh hưởng đến ngăn xếp của bạn. Nếu bạn cần trợ giúp, hãy để Prequel theo dõi những điều này và hàng trăm rủi ro khác hàng ngày.

Hãy thử Prequel và luôn đi trước những thay đổi trong hệ sinh thái.

Xem quảng cáo để đọc tiếpHoặc nâng cấp tài khoản để tắt quảng cáo

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào