周一见|Tinder 成功迁移 200 个服务、Eclipse 提出新 K8S 开发工具、微软百名员工签名力挺 996.ICU

1. Tinder 迁移 200 个服务并运行 K8S 集群  

两年前，Tinder（一款国外手机交友 APP）为解决应用程序的扩展性、稳定性等问题，决定将其平台迁移到 Kubernetes 上。 如今，Tinder 平台完全在 Kubernetes 集群上运行，该集群包括 200 个服务、1,000 个节点、15,000 个 Pod 和 48,000 个运行容器。

Tinder 技术团队迁移工作流程如下：

• 2018 年 1 月开始，将所有服务集中起来，并将它们部署到一系列 Kubernetes 托管的临时环境中；

• 2018 年 10 月，开始将所有遗留服务转移到 Kubernetes 中；

• 2019 年 3 月，完成 Tinder 全面迁移。

Tinder 表示：容器现在可以在几秒内安排并提供流量，而不是几分钟。在单个 EC2 实例上调度多个容器还可以提高水平密度。 因此，与去年相比，Tinder 预计今年 EC2 将大幅节省成本。

在公众号后台回复 “Tinder” ，即可 获取该案例文档。

通过案例你将了解：

• 如何为 Kubernetes 建立镜像；

• Kubernetes 集群架构和迁移；

• 突发状况：网络结构限制；

• 使用 Envoy 实现更好的负载均衡；

• .......

2.  协调 K8S 与 PCI DSS 的支付系统

近日，Paybase（一个端到端的支付服务提供商）系统工程师 Ana Calin 发表了一份经验报告， 该报告介绍了他们是如何在 GKE（ Google Kubernetes Engine）上，通过运行 50 多个 Node.js 微服务来实现 PCI DSS 1 级合规性。 Calin 表示：除了精确定位和解决 Kubernetes 的一些安全缺陷外，另一个关键因素是他们挑战了 PCI DSS 要求的 “现状”。

PCI DSS  是一种可追溯到 2004 年的信息安全标准（处理信用卡付款的组织必须遵守），但至今 PCI DSS 要求尚未明确考虑到 Kubernetes、容器编排的影响，其关于容器、Pod 及其瞬态特性（transient nature）的解释也十分模糊。

Calin 指出有许多大型金融机构更愿意支付 PCI DSS 的经常性罚款，而不是改进应用程序以符合 PCI DSS 要求。 Calin 声称，总体而言，2017 年，超过 80％ 的组织仍未能遵守 PCI DSS。

对此，Calin 提到了 PCI DSS 要求（＃2.2.1）的示例，来帮助每个服务器或虚拟机仅执行一个主要功能。同时，Calin 的团队为安全的 GKE Kubernetes 集群定义了一套指南，例如每个集群都有一个专用的服务帐户（只提供严格要求的权限和最小的计算引擎范围）。 根据 Calin 的说法，设置 Kubernetes  网络策略和 Pod 安全策略以及启用 RBAC 十分关键。

在公众号后台回复 “支付系统” 即可 获该案例详细 PPT。

3 .  Docker Hub 19 万用户敏感数据泄露  

美国时间 4 月 26 日晚，有开发者表示收到来自 Docker 的官方邮件，邮件概要 如下：

由于 Docker Hub 遭受非法入侵，已导致 19 万个帐号的敏感数据被泄露。这些数据包括小部分用户的用户名和哈希密码，以及用于自动构建 Docker 镜像而授权给 Docker Hub 的 GitHub 和 Bitbucket token。

对于此事件 Docker 表示：在黑客入侵 Docker Hub 后的短时间内，我们就发现了问题并立即采取了干预措施来保护数据，但仍有 19 万个帐号数据被泄露，大约是总用户数的 5%。

此外，对于使用了自动构建服务并可能受影响的用户，Docker 已撤销了他们的 GitHub token 和访问密钥。此类用户需要重新连接到存储库，并需要立即检查安全和登录日志是否发生了异常操作。

4. Eclipse 提出新 K8S 开发工具  

近日，Eclipse 基金会提出了一个名为 Eclipse Tempest 的开源项目。他们希望用户可以通过使用 Tempest 获取用于构建 Kubernetes 应用程序的工具，而无需考虑集成开发环境（IDE）或编程语言。

该项目最开始的代码贡献会包括：Eclipse Java IDE、the Eclipse Che cloud IDE 和 Microsoft's Visual Studio Code 编辑器的插件。

Tempest 工具包包括以下功能：

• 从模板或样本快速开发应用程序；

• 支持在桌面和 Kubernetes 上直接启动、更新、测试和调试 Docker 容器；

• 帮助将现有应用程序移动到 Docker 和 Kubernetes 中；

• 验证以确保应用程序遵循最佳实践；

• 用于跨 IDE 一致测试和部署应用程序的通用库。

在解释设计 Tempest 的原因时，Eclipse 指出传统的应用程序是在桌面上开发，在本地调试，然后通过自动 DevOps 管道构建和部署的。 Docker 的到来允许运行时在环境之间打包和移动，而 Kubernetes 正在成为大规模 Docker 部署的部署系统，但一些部署通常还是在本地环境中完成，而不是利用这些新技术。

Tempest 的技术预览和测试版计划于 2019 年的第三个季度推出。第一个版本计划在 2019 年第四季度推出。

5.VMware 更新 Enterprise PKS 平台？

近日，VMware 推出了其 Enterprise PKS 平台的更新版，其中包括 Kubernetes v1.13 的上游版本以及加速生产级部署的新功能。更新的平台包括简化的安装路径（只需下载必要的组件和管理员用户界面）。它还包括实时输入验证以及 VMware vCenter Server 和 VMware NSX-T 的数据自动填充。

新版本还会与最新的 NSX-T v2.4 集成。这将为 Enterprise PKS 平台带来 UI 和 API，以支持更高的可伸缩性并提高可用性。同时，该平台通过与 NSX-T、VMware 的 vRealize Network Insight 集成，网络也得到了相应的提升。

AI 资讯

1.李飞飞高徒分享神经网络训练方法  

上周，李飞飞高徒、特斯拉人工智能高级总监 Andrej Karpathy 针对训练神经网络相关的常见问题，撰文分享了自己比较推荐的一种模型训练流程：

• 与数据融为一体：训练神经网络的第一步是根本不接触任何神经网络代码，而是从彻底检查数据开始；

• 配置端到端的训练、评估框架 + 获得基线结果：选择一些简单模型，如线性分类器、ConvNet 等，设置一些明确假设，并执行一系列对照实验；

• 过拟合 + 正则化：训练一个好模型往往有两个阶段——首先得到一个足够大的模型，它可以是过拟合的（即专注于训练损失），其次，再对它进行正则化（牺牲一些训练损失以改善验证损失）；

• 调整：“在循环中”用数据集探索低验证损失体系架构的模型空间，如随机网格搜索、超参数优化；

• 用模型集成或延长训练时间提高模型性能。

详情请见：

https://karpathy.github.io/2019/04/25/recipe/