业界要闻

  1. Mesosphere 公司正式更名为 D2IQ, 关注云原生。

Mesosophere 公司日前发布官方声明正式更名为:D2iQ(Day-Two-I-Q),称关注点转向 Kubernetes 与云原生领域, 并会继续将“Mesosphere”作为产品技术和品牌的一部分。

  1. Kubernetes 两个安全漏洞修复指南。

2.1  Kubernetes API server 曝出安全漏洞(CVE-2019-11247),该漏洞使得指定了命名空间权限的请求可以访问到集群级别权限的自定义资源(CR),漏洞产生的主要原因在于 CRD 的服务 API 没有检查请求的命名空间范围(namespaceScope)。

  • 漏洞涉及的版本包括:  Kubernetes 1.7.x-1.12.x; Kubernetes 1.13.0-1.13.8; Kubernetes 1.14.0-1.14.4; Kubernetes 1.15.0-1.15.1;
  • 漏洞的具体影响:对于只被授权某个具体 namespace 自定义资源的用户,他将可以访问集群级别的自定义资源;
  • 处理漏洞的方案:根治的方案是升级到修复了该漏洞的版本,如 1.14.51.15.2 等,除了升级 Kubernetes 版本,还可以把一些在 namespace 里授权了集群级别资源的规则先清理掉,比如一个 namespace 下的 RBCA roles,不要用这种方式授权 resources:[*] , apiGroups:[*] ,也不要授权集群级别的CRD。

2.2  kubectl cp  第三次曝出安全漏洞 (CVE-2019-11249),这次的漏洞是可能有潜在攻击者构造恶意容器,导致使用者在使用 kubectl cp 命令式本地文件被影响,是一个影响客户端侧的漏洞。

  • 漏洞涉及的版本包括: Kubernetes 1.0.x-1.12.x ; Kubernetes 1.13.0-1.13.8 ; Kubernetes 1.14.0-1.14.4 ; Kubernetes 1.15.0-1.15.1;
  • 漏洞的具体影响:攻击者使用 kubectl cp 可能覆盖指定路径以外的文件;
  • 处理漏洞的临时方案:升级客户端工具 kubectl 到最新版本,或者对不可信的 workloads 先不使用 kubectl cp 命令。
  1. 思科容器平台支持微软 AKS、google 开始引导客户迁移到 anthos、CloudBees 正式推出 Jenkins X 发行版。

相关资料 思科容器平台支持微软 AKSgoogle 开始引导客户迁移到 anthosCloudBees 正式推出 Jenkins X 发行版

  1. CNCF 宣布 Kubernetes 峰会首尔和悉尼:向全世界传播 Kubernetes 和云计算。

CNCF 宣布将于今年 12 月 9 日至 10 日在韩国首尔、 12 月 12 日至 13 日在澳大利亚悉尼,首次举办Kubernetes峰会,以便更好的向全世界传播 Kubernetes 和云计算。现在在每年三场 KubeCon + CloudNativeCon 的基础上,开发者、用户、厂商有更多的机会可以在一起面对面的交流合作、学习进步。两个城市在一个星期连续举办的两个活动,有助于国际演讲者和赞助商的影响力提高。 https://mp.weixin.qq.com/s/Xo2BKXfDD36qk3l0VrGEAQ

上游重要进展

Kubernetes 项目

  1. admission webhook 的 admissionreview 类型包从 v1beta 变为 v1  ;

https://github.com/kubernetes/kubernetes/pull/80231

  1. 修复 kubectl cp 的 CVE PR:
  1. 修复越过 namespace 权限访问 cluster 级别 CRD 的 CVE PR:

Knative 项目

8 月 6 日,knative 发布了 0.8 版本,主要聚焦在功能完善方面,目前 Knative Eventing/Servering 的功能日渐成熟。Knative Serving 0.8 主要增加了以下功能:

  • Target Burst Capacity (TBC) 支持,用于避免突发流量在 queue-proxy 里排队;
  • 减少 Readiness 健康检查需要的时间;
  • Route/Service 的 ready 状态能代表可以访问了。

Knative Eventing 0.8 主要增加了以下功能:

  • 新增 Choice CRD 资源,用来定义 function 执行流程。通过 Choice, 可以根据条件来选择 function 进行事件处理,具备 func 的编排能力。

更详细的解读请阅读文章 "Knative Serving 0.8 变更" 和 "全面解读 Knative Eventing 0.8 版本新特性"。

开源项目推荐

  1. flux 基于 gitops 的持续发布(CD)项目

以 Kubernetes 为底座,主打无状态应用的发布,提供丰富的发布策略。

  1. [gubernator] (https://github.com/mailgun/gubernator)

高性能分布式限速微服务项目,类似的这种项目之前都是加一个 redis 之类的缓存实现的,而该项目主打没有外部软件依赖。 https://www.infoq.cn/article/jgZzDBD4IQ*6wHHrpZhv

  1. [TiDB operator 1.0 GA]( https://github.com/pingcap/tidb-operator

该项目是数据库类型的 workload 如何做 operator 的一个参考,文章指出目前已经可以在阿里的 ACK 等云厂商服务上快速体验。 https://pingcap.com/blog/database-cluster-deployment-and-management-made-easy-with-kubernetes/

本周阅读推荐

  1. 《云原生时代, Kubernetes 多集群架构初探》

该文章从早几年的多集群技术开始,描述了其架构存在的问题,讲到如今云原生时代多集群的架构,以及如何面向多集群做应用管理,多集群技术演变史娓娓道来。

  1. 《复杂性会成为 Kubernetes 的“致命伤”吗?》 (https://www.infoq.cn/article/ZK6i*P9ye0NCGHSZQpNO)

近日,外媒 InfoWorld 发表了一篇题为“ Will complexity kill Kubernetes? (复杂性会杀死 Kubernetes 吗?)”的文章,指出了 Kubernetes 本身过于复杂的事实,并分析了这种复杂性与 Hadoop 是否雷同,以及 Kubernetes 最终会不会重蹈 Hadoop 的覆辙。针对上述问题,InfoQ 第一时间对阿里巴巴高级技术专家张磊进行了独家采访,共同探讨 Kubernetes 背后的复杂性问题。

  1. 《Helm deployments》 (https://kubedex.com/helm-deployments/)

关于应用部署,文章对各种利用 helm charts 或者类似工具进行了对比,描述了 helm 2 存在的问题,以及其他一系列工具围绕云原生应用管理做了哪些工作,很有借鉴意义。

  1. 《CNCF 开源了 k8s 核心组件的[安全审计报告] 》(https://thenewstack.io/cncf-open-sources-security-audit-of-core-kubernetes-components)

方便用户查看 k8s 核心组件的安全审计情况,重要的漏洞基本都以 CVE 的形式呈现,该审计报告主要在各种用户不合理的使用姿势上给出安全警示。

  1. Serverless 系列一:基本概念入门

探讨 Serverless 定义、场景及对云原生时代的应用架构的思考。

  1. 运行在 Istio 之上的 Apache Kafka——基准测试 》—— by Balint Molnar,马若飞 译

本文是一篇 Kafka 的基准测试分析报告,作者详细介绍了测试的环境和配置选择,并在单集群、多集群、多云、混合云等各种场景下进行了 A/B 测试和性能分析,评估了 Istio 的引入对性能的影响情况。

  1. 构建云原生微服务网关-篇一:Ambassador 》—— by 陆培尔

在微服务架构中,API 网关是一个十分重要的存在。一方面它为外部的流量访问提供了统一的入口,使得可以方便的进行防火墙的策略实施;另一方面,可以在网关处进行流量控制、认证、授权、灰度发布、日志收集、性能分析等各种高级功能,使得业务功能与非业务功能有效解耦,给予了系统架构更大的灵活性。本系列文章尝试分析目前主流的云原生微服务网关,并比较它们各自的优劣。

  1. Istio 庖丁解牛六:多集群网格应用场景》—— by 钟华

利用 Istio 多集群能力实现「异地容灾」和「地域感知负载均衡」。


了解 ACK 容器服务,请查看:https://www.aliyun.com/product/kubernetes

本周报由阿里巴巴容器平台联合蚂蚁金服共同发布

本文作者:天元、元毅、心水 、张磊、进超

责任编辑:木环

云原生生态周报 Vol. 14 | K8s CVE 修复指南的更多相关文章

  1. 云原生生态周报 Vol. 15 | K8s 安全审计报告发布

    业界要闻 CNCF 公布 Kubernetes 的安全审计报告 报告收集了社区对 Kubernetes.CoreDNS.Envoy.Prometheus 等项目的安全问题反馈,包含从一般弱点到关键漏洞 ...

  2. 云原生生态周报 Vol. 11 | K8s 1.16 早知道

    业界要闻 Pivotal 发布了完全基于 Kubernetes 的 Pivotal Application Service(PAS)预览版 这意味着 Pivotal 公司一直以来在持续运作的老牌 Pa ...

  3. 云原生生态周报 Vol.9| K8s v1.15 版本发布

    本周作者 | 衷源.心贵 业界要闻 1.Kubernetes Release v1.15 版本发布,新版本的两个主题是持续性改进和可扩展性.(https://github.com/kubernetes ...

  4. 云原生生态周报 Vol. 12 | K8s 1.16 API 重大变更

    本文作者:源三.临石.张磊.莫源 业界要闻 1. K8s 1.16 将废弃一系列旧的 API 版本 影响面涉及 NetworkPolicy.PodSecurityPolicy.DaemonSet, D ...

  5. [转帖]Kubernetes v1.17 版本解读 | 云原生生态周报 Vol. 31

    Kubernetes v1.17 版本解读 | 云原生生态周报 Vol. 31 https://www.kubernetes.org.cn/6252.html 2019-12-13 11:59 ali ...

  6. 云原生生态周报 Vol. 3 | Java 8 ❤️ Docker

    摘要: Docker Hub遭入侵,19万账号被泄露:Java 8 终于开始提供良好的容器支持:Snyk 年度安全报告出炉,容器安全问题形势空前严峻. 业界要闻 Docker Hub遭入侵,19万账号 ...

  7. 云原生生态周报 Vol. 5 | etcd性能知多少

    业界要闻 1 Azure Red Hat OpenShift已经GA.在刚刚结束的Red Hat Summit 2019上,Azure Red Hat OpenShift正式宣布GA,这是一个微软和红 ...

  8. 云原生生态周报 Vol. 6 | KubeCon EU 特刊

    5 月 26日,2019 年第一个 KubeCon + CloudNativeCon 在巴塞罗那成功闭幕.本届 KubeCon 共吸引了超过 7700 名与会者,相较去年哥本哈根大会的 4300 余名 ...

  9. 云原生生态周报 Vol. 7 | Docker 再爆 CVE

    业界要闻 Docker 基础镜像 Alpine 爆出提权漏洞(CVE-2019-5021):该CVE影响自 Alpine Linux 3.3 版本开始的所有 Docker 镜像.该漏洞的机制在于 Al ...

随机推荐

  1. Spring中ApplicationListener的使用

    背景 ApplicationListener是Spring事件机制的一部分,与抽象类ApplicationEvent类配合来完成ApplicationContext的事件机制. 如果容器中存在Appl ...

  2. Java生鲜电商平台-促销架构以及秒杀解决方案实战

    Java生鲜电商平台-促销架构以及秒杀解决方案实战 背景:随着这几年的电商的大热,我们经常看到一些商家为了促销和快速收益,纷纷推出了秒杀活动.不管是日常的超市里面的促销,明星演唱会门票售卖,还是春节订 ...

  3. [转]English - 开口说话工具箱: 27个高频词单词

    本文转自:https://blog.csdn.net/weixin_34247032/article/details/87125465 英语初学者注意力不要放在语法上, 首先要懂得如何让自己开口说英语 ...

  4. Spring/Spring boot正确集成Quartz及解决@Autowired失效问题

    周五检查以前Spring boot集成Quartz项目的时候,发现配置错误,因此通过阅读源码的方式,探索Spring正确集成Quartz的方式. 问题发现 检查去年的项目代码,发现关于QuartzJo ...

  5. 并发修改异常ConcurrentModificationException

    1.简述:在使用 迭代器对象遍历集合时,使用集合对象修改集合中的元素导致出现异常 public static void main(String[] args) { List<Integer> ...

  6. softmax求导、cross-entropy求导及label smoothing

    softmax求导 softmax层的输出为 其中,表示第L层第j个神经元的输入,表示第L层第j个神经元的输出,e表示自然常数. 现在求对的导数, 如果j=i,   1 如果ji, 2 cross-e ...

  7. nginx代理ambassador,再转到mlfow-tracking服务

    这个服务的代理,相对于服务网关来说,有些典型, 今天调通了,作个记录. 一,nginx配置 upstream ai_ambassador { ip_hash; server 1.2.3.4:30080 ...

  8. UML图示样例

  9. 面向对象程序设计(Java) 第7周学习指导及要求

    2019面向对象程序设计(Java)第7周学习指导及要求 (2019.10.11-2019.10.14) 学习目标 掌握四种访问权限修饰符的使用特点: 掌握Object类的用途及常用API: 掌握Ar ...

  10. STL ——map、set、unordered_map、unordered_set

    1.map和set map和set底层实现均是红黑树 map支持下标操作,set不支持下标操作. set的迭代器是const的,不允许修改元素的值:map允许修改value,但不允许修改key. se ...