雲原生生態週報 Vol. 14：K8s CVE 修復指南

前言

《雲原生生態週報》由阿里雲容器平臺聯合螞蟻金服共同發佈，每週一期。衆多一線社區專家與您一起“跟蹤動態，讀懂社區”，分享雲原生社區項目進展、活動發佈、精選博客等信息。以下是第十四期雲原生生態週報的內容。

業界要聞

1 Mesosphere公司正式更名爲 D2IQ，關注雲原生
Mesosophere公司日前發佈官方聲明正式更名爲：D2iQ（Day-Two-I-Q），稱關注點轉向Kubernetes與雲原生領域，並會繼續將“Mesosphere”作爲產品技術和品牌的一部。

2 Kubernetes 兩個安全漏洞修復指南

2.1 Kubernetes API server 暴出安全漏洞（CVE-2019-11247），該漏洞使得指定了命名空間權限的請求可以訪問到集羣級別權限的自定義資源（CR），漏洞產生的主要原因在於CRD的服務API沒有檢查請求的命名空間範圍（namespaceScope）。

漏洞涉及的版本包括： Kubernetes 1.7.x-1.12.x; Kubernetes 1.13.0-1.13.8; Kubernetes 1.14.0-1.14.4; Kubernetes 1.15.0-1.15.1
漏洞的具體影響：對於只被授權某個具體namespace自定義資源的用戶，他將可以訪問集羣級別的自定義資源。
處理漏洞的方案：根治的方案是升級到修復了該漏洞的版本，如1.14.5，1.15.2 等，除了升級Kubernetes版本，還可以把一些在namespace裏授權了集羣級別資源的規則先清理掉，比如一個namespace下的RBCA roles，不要用這種方式授權 resources:[*] , apiGroups:[*] ，也不要授權集羣級別的CRD

2.2 kubectl cp 第三次暴出安全漏洞(CVE-2019-11249)，這次的漏洞是可能有潛在攻擊者構造惡意容器，使得使用者在使用kubectl cp 命令式本地文件被影響，是一個影響客戶端側的漏洞。

漏洞涉及的版本包括: Kubernetes 1.0.x-1.12.x ; Kubernetes 1.13.0-1.13.8 ; Kubernetes 1.14.0-1.14.4 ; Kubernetes 1.15.0-1.15.1
漏洞的具體影響：攻擊者使用 kubectl cp 可能覆蓋指定路徑以外的文件。
處理漏洞的臨時方案：升級客戶端工具 kubectl 到最新版本，或者對不可信的workloads先不使用 kubectl cp 命令。

3 思科容器平臺支持微軟AKS、google開始引導客戶遷移到anthos、CloudBees 正式推出 Jenkins X 發行版
相關資料：
思科容器平臺支持微軟AKS

google開始引導客戶遷移到anthos

CloudBees 正式推出 Jenkins X 發行版

4 CNCF宣佈將於今年 12 月 9 日至 10 日在韓國首爾、 12 月 12 日至 13 日在澳大利亞悉尼，首次舉辦Kubernetes峯會，以便更好的向全世界傳播Kubernetes和雲計算。現在在每年三場KubeCon + CloudNativeCon的基礎上，開發者、用戶、廠商有更多的機會可以在一起面對面的交流合作、學習進步。兩個城市在一個星期連續舉辦的兩個活動，有助於國際演講者和贊助商的影響力提高。 https://mp.weixin.qq.com/s/Xo2BKXfDD36qk3l0VrGEAQ

上游重要進展

Kubernetes 項目

admission webhook的admissionreview 類型包從 v1beta 變爲 v1

https://github.com/kubernetes/kubernetes/pull/80231
2. 修復kubectl cp的CVE PR：

Fixed in v1.13.9 by #80871
Fixed in v1.14.5 by #80870
Fixed in v1.15.2 by #80869
Fixed in master by #80436

修復越過namespace權限訪問cluster級別CRD的CVE PR：

Fixed in v1.13.9 by #80852
Fixed in v1.14.5 by #80851
Fixed in v1.15.2 by #80850
Fixed in master by #80750

Knative 項目

8月6日，knative發佈了0.8版本，主要聚焦在功能完善方面，目前 Knative Eventing/Servering 的功能日漸成熟。Knative Serving 0.8主要增加了以下功能：

Target Burst Capacity (TBC) 支持，用於避免突發流量在queue-proxy裏排隊。
減少Readiness 健康檢查需要的時間
Route/Service的ready狀態能代表可以訪問了

Knative Eventing 0.8主要增加了以下功能：

新增 Choice CRD 資源，用來定義 function 執行流程。通過 Choice，可以根據條件來選擇function 進行事件處理，具備func的編排能力

更詳細的解讀請閱讀文章 “Knative Serving 0.8 變更” 和 “全面解讀 Knative Eventing 0.8 版本新特性”

開源項目推薦

flux 基於gitops的持續發佈（CD）項目，以Kubernetes爲底座，主打無狀態應用的發佈，提供豐富的發佈策略。
gubernator 高性能分佈式限速微服務項目，類似的這種項目之前都是加一個redis之類的緩存實現的，而該項目主打沒有外部軟件依賴。
https://www.infoq.cn/article/jgZzDBD4IQ*6wHHrpZhv
TiDB operator 1.0 GA, 該項目是數據庫類型的workload如何做operator的一個參考，文章指出目前已經可以在阿里的ACK等雲廠商服務上快速體驗。
https://pingcap.com/blog/database-cluster-deployment-and-management-made-easy-with-kubernetes/

本週閱讀推薦

《雲原生時代， Kubernetes 多集羣架構初探》：該文章從早幾年的多集羣技術開始，描述了其架構存在的問題，講到如今雲原生時代多集羣的架構，以及如何面向多集羣做應用管理，多集羣技術演變史娓娓道來。
複雜性會成爲 Kubernetes 的’致命傷’嗎？：近日，外媒 InfoWorld 發表了一篇題爲“ Will complexity kill Kubernetes? （複雜性會殺死 Kubernetes 嗎？）”的文章，指出了 Kubernetes 本身過於複雜的事實，並分析了這種複雜性與 Hadoop 是否雷同，以及 Kubernetes 最終會不會重蹈 Hadoop 的覆轍。針對上述問題，InfoQ 第一時間對阿里巴巴高級技術專家張磊進行了獨家採訪，共同探討 Kubernetes 背後的複雜性問題。
Helm deployments ：關於應用部署，文章對各種利用helm charts或者類似工具進行了對比，描述了helm 2存在的問題，以及其他一系列工具圍繞雲原生應用管理做了哪些工作，很有借鑑意義。
CNCF開源了k8s核心組件的安全審計報告，方便用戶查看k8s核心組件的安全審計情況，重要的漏洞基本都以CVE的形式呈現，該審計報告主要在各種用戶不合理的使用姿勢上給出安全警示。
Serverless系列一：基本概念入門探討Serverless定義、場景及對雲原生時代的應用架構的思考。
運行在Istio之上的Apache Kafka——基準測試，by Balint Molnar，馬若飛譯。本文是一篇Kafka的基準測試分析報告，作者詳細介紹了測試的環境和配置選擇，並在單集羣、多集羣、多雲、混合雲等各種場景下進行了A/B測試和性能分析，評估了Istio的引入對性能的影響情況。
構建雲原生微服務網關-篇一：Ambassador ，by 陸培爾。在微服務架構中，API網關是一個十分重要的存在。一方面它爲外部的流量訪問提供了統一的入口，使得可以方便的進行防火牆的策略實施；另一方面，可以在網關處進行流量控制、認證、授權、灰度發佈、日誌收集、性能分析等各種高級功能，使得業務功能與非業務功能有效解耦，給予了系統架構更大的靈活性。本系列文章嘗試分析目前主流的雲原生微服務網關，並比較它們各自的優劣。
Istio 庖丁解牛六：多集羣網格應用場景，by 鍾華。利用 istio 多集羣能力實現「異地容災」和「地域感知負載均衡」

本週報由阿里巴巴容器平臺聯合螞蟻金服共同發佈

本文作者：天元、元毅、心水、張磊、進超
責任編輯：木環

雲原生生態週報 Vol. 14：K8s CVE 修復指南

前言

業界要聞

上游重要進展

Kubernetes 項目

Knative 項目

開源項目推薦

本週閱讀推薦

雲原生生態週報 Vol. 25：Canonical 開源 MicroK8

雲原生生態週報 Vol. 14：K8s CVE 修復指南

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結