云原生周刊：Kubernetes 如何成为新的 Linux

云原生热点

OpenFGA 成为 CNCF 孵化项目

OpenFGA 是一款开源的细粒度授权系统（Authorization Engine），专为现代分布式系统与云原生场景设计。它在 2025 年正式成为 CNCF 的孵化级项目，标志着其在 ReBAC（关系型访问控制）和云原生授权领域取得重要里程碑。

项目由 Okta 团队发起，自 2022 年 9 月进入 CNCF Sandbox 以来，已在数百家企业中落地，并吸引了活跃且持续增长的社区贡献。

作为一个独立的外部授权服务，OpenFGA 借助 API 与多语言 SDK 将访问控制逻辑从应用中解耦，实现一致、可审计、可扩展的权限管理能力。CNCF TOC 对其技术成熟度、社区活力及生产实践给予高度认可，期待 OpenFGA 成为云原生安全架构中的关键组件。

Longhorn v1.10.0 发布：云原生存储管理更高效

Longhorn 是一个由 CNCF 托管的开源云原生分布式块存储系统，专为 Kubernetes 而设计。它通过轻量级微服务架构，为每个 Kubernetes 卷提供高可用的副本保护，并实现快照、备份、恢复、在线扩容等数据管理能力。

Longhorn v1.10.0 是一次重要的云原生存储更新，重点强化了 V2 数据引擎的性能和资源效率，例如通过新增“中断模式”来降低空闲 CPU 消耗、优化副本重建以减少带宽竞争、支持全复制与链接克隆以及实现在线扩容等能力。该版本还引入全新的统一全局配置格式，简化了 V1 与 V2 引擎的管理操作。在网络与调度层面，它新增了对单栈 IPv6 的支持、整合了 CSIStorageCapacity 以提供存储感知调度，并允许通过调整备份块大小来兼顾速度与空间占用。此外，此版本正式清理了旧版 API，进一步提升了系统的可维护性。

技术实践

文章推荐

避开 7 个常见 Kubernetes 误区：从实战经验看如何构建更稳健的集群

这篇文章介绍了 7 个常见的 Kubernetes 使用误区及其规避方法，包括忽略 CPU/内存的 requests 与 limits 配置、缺失存活探针和就绪探针、过度依赖 kubectl logs 而不做集中式日志与可观测性建设、在开发与生产环境中使用几乎相同的配置、长久遗留无用资源不清理、在还未理解基础网络模型前就急于上服务网格等复杂网络方案，以及对安全与 RBAC 配置重视不足等问题。

作者结合自身踩坑经历，给出如合理设置资源配额、设计健康检查、引入日志与指标系统、为不同环境做差异化配置、通过标签和策略定期清理资源、循序渐进演进网络架构，以及通过 RBAC、Pod 安全策略和固定镜像版本提升安全性的具体建议，帮助读者构建更稳定、安全、可运维的 Kubernetes 集群。

Kubernetes 日志可视化利器：深入访谈 KHI 背后的设计思路

这篇文章介绍了 Kubernetes History Inspector (KHI) 这个开源工具的设计背景、功能与发展历程 — 在该播客中，主持人与 Kakeru Ishii（KHI 的发起者）探讨了 KHI 如何将来自 Kubernetes 集群的审核与日志数据可视化为时间线与集群图谱，以支持跨组件故障诊断，同时聊到了该工具为何选择开源、如何构建 Web UI 与图形视图、以及团队在真实运维中遇到的问题。

Kubernetes 如何成为新的 Linux

这篇文章介绍了 Kubernetes 是如何从一个“草创的编排器”发展成为企业级标准，进而演化为类似 Linux 在早期的地位——文章指出，早期大型银行需自行构建 Linux 内核，而如今几乎所有人都运行通用发行版；同样地，现在组织也越来越不再自行开发 Kubernetes 控制平面，而是采用标准化的 Kubernetes 平台。与此同时，以 Amazon Web Services 为例，其将项目如 Karpenter 和 KRO 捐赠给 Kubernetes 社区，反映出它在开源贡献方向上也发生了从“为自己构建”向“为生态系统构建”的转变。

开源项目推荐

Kuma

Kuma 是一个基于 Envoy 的开源服务网格控制平面，属于 CNCF Sandbox 项目，支持在 Kubernetes 和虚拟机/裸金属环境中部署，面向单集群与多集群、多云、多数据中心的单区/多区（multi-zone） 场景。它提供统一的服务发现、流量管理、安全（mTLS、零信任）、可观测性等策略能力，并支持在同一控制平面上运行多个隔离网格（multi-mesh）以服务不同团队与业务，从而简化微服务间通信管理。

Kubetail

Kubetail 是一个用于 Kubernetes 集群的实时日志查看工具，可在终端或浏览器中运行，支持本地或集群内部署。它能够合并同一工作负载下所有容器的日志按时间顺序展示，基于 Kubernetes API 直接拉取日志，无需依赖外部日志系统，并支持按工作负载、时间范围和节点属性等多维度筛选，帮助快速排查和分析容器日志问题。

Kops

Kops 是一个用于在云环境中创建、管理和升级 Kubernetes 集群的开源工具，支持 AWS、GCE、DigitalOcean 等多种平台。它通过声明式配置和自动化流程简化集群的部署与维护，提供高可用控制平面、滚动升级、节点管理、网络与安全配置等能力，被广泛用于生产级 Kubernetes 集群的构建与运维。

Kftray

Kftray 是一个用于在本地系统托盘中管理 Knative Functions 的轻量级工具，提供可视化界面来查看、启动、停止和调试函数运行时环境。它让开发者无需频繁使用命令行即可便捷地管理本地 Knative Functions 开发流程，从而提升函数开发与测试效率。

关于KubeSphere

KubeSphere （https://kubesphere.io）是在 Kubernetes 之上构建的容器平台，提供全栈的 IT 自动化运维的能力，简化企业的 DevOps 工作流。

KubeSphere 已被 Aqara 智能家居、本来生活、东方通信、微宏科技、东软、新浪、三一重工、华夏银行、四川航空、国药集团、微众银行、紫金保险、去哪儿网、中通、中国人民银行、中国银行、中国人保寿险、中国太平保险、中国移动、中国联通、中国电信、天翼云、中移金科、Radore、ZaloPay 等海内外数万家企业采用。KubeSphere 提供了开发者友好的向导式操作界面和丰富的企业级功能，包括 Kubernetes 多云与多集群管理、DevOps (CI/CD)、应用生命周期管理、边缘计算、微服务治理 (Service Mesh)、多租户管理、可观测性、存储与网络管理、GPU support 等功能，帮助企业快速构建一个强大和功能丰富的容器云平台。