「K8S 生態週報」內容主要包含我所接觸到的 K8S 生態相關的每週值得推薦的一些信息。歡迎訂閱知乎專欄「k8s生態」。
runc v1.0.0-rc9 發佈
不知不覺,runc v1.0.0-rc9 於近日發佈了。早先關注過我文章的朋友們應該看到過我從去年開始每次在 runc 新版本發佈時都有專門寫一篇文章進行介紹。這次版本的定位主要是修復 CVE-2019-16884 所以我也就不再單獨寫文章介紹了(另一個原因是現在在假期,還是多抽空陪陪家人)
先對 CVE-2019-16884 做個簡單的介紹。這是一箇中等級別的漏洞,其主要影響是 runc 源碼中的 libcontainer/rootfs_linux.go 在文件掛載至 /proc 時,少做了一些檢查,可繞過 AppArmor 的限制,所以可能導致被一些惡意鏡像所利用。
主要的修復方式是將原先的 checkMountDestination 函數改寫爲 checkProcMount,並在其中添加了對源文件類型的判斷,只允許 procfs 類型的文件掛載至 /proc 。
此漏洞影響到的範圍是 runc 以及一些使用 runc 作爲基礎組件的容器管理軟件。請儘快進行升級。
此版本的地址是:https://github.com/opencontai...
Docker v19.03.3-rc1 發佈
自從 Docker 修改維護週期後,Docker 對軟件的質量要求有了顯著提高,每次版本發佈前會經歷多階段的測試和迴歸,確保軟件沒有什麼問題後纔會發佈正式版。
按現在的進度來看 v19.03.3 應該會在一兩週內放出。新版本會將 containerd 升級至最新的 1.2.10 ,並修復了一個在 5.2 版本內核上 overlay2 文件系統掛載時的錯誤。
關於此版本感興趣的朋友可以參考 ReleaseNote
上游進展
Kubernetes v1.17 已經進入發佈週期,這個版本的發佈週期會比較短,現在已經發布了 v1.17.0-alpha 版本,計劃是在 12 月 9 日可以最終發佈。(想想看,距現在也就兩個月的時間,你的集羣現在是哪個版本呢?)
另外,在近期將會發布 v1.13.12 版本,這將是 v1.13 分支的最後一個版本,如果還是使用此版本的朋友,請儘快進行升級了。(當然,與它同時發佈的也還有 1.16.2,1.15.5 和 1.14.8 如果要升級可以等這幾個版本發佈後再進行升級,免得還得重複升級)
k8s.io/klog 升級到了 v1.0 #83014
另外一個有趣的事情是 Kubernetes v1.17 現在把 golang 版本更新到了 1.12.10 ,不出意外的話, v1.17 將會一直使用 go 1.12.x 版本,直到下個版本纔可能會升級至 go 1.13.x (這裏最主要的原因是在 go 1.13.0 發佈後,經過大量回歸測試後發現, Kubernetes 在 go 1.13.0 上的表現不如 go 1.12.x 而依據 golang 的維護週期,以及 kubernetes 的維護週期來看的話,使用 go 1.12.x 看起來沒什麼風險,所以可能就會一直保持這個決定吧。
題外話
假期馬上就要結束了,大家休息的怎麼樣呢?
可以通過下面二維碼訂閱我的文章公衆號【MoeLove】,在公衆號後臺回覆 k8s 可加入技術圈交流。
