「K8S 生態週報」內容主要包含我所接觸到的 K8S 生態相關的每週值得推薦的一些信息。歡迎訂閱知乎專欄「k8s生態」。 文末有活動,歡迎參與。
Docker 19.03.3 正式發佈
在本週 Docker 發佈了 19.03.3 版本,這個版本的變更內容 很重要,我會將主要內容都列出來。(上週週報介紹了 19.03.3-rc1 的一些情況)
已知問題
DOCKER-USER iptables 鏈丟失;如果你並不需要在 DOCKER-USER 鏈上定義規則的話,那你也並不會受此問題的影響。
臨時解決辦法:手動添加丟失的鏈,操作如下:
iptables -N DOCKER-USER
iptables -I FORWARD -j DOCKER-USER
iptables -A DOCKER-USER -j RETURN這個問題會在 19.03.4 中進行修復, 很快會進行發佈; 實際會把 libnetwork 中有問題的那段代碼先去掉。 如果已經升級了此版本的用戶,受到此問題影響的話,可以使用上述方式進行臨時解決。
安全問題
- 將 runc 更新到了 v1.0.0-rc8-92-g84373aaa 這其中包含了 runc 中對 CVE-2017-18367 的修復,該漏洞的根本原因在於
libseccomp-golang中一個錯誤的邏輯運算 ,有興趣的朋友可以點開鏈接看看實際的修復代碼,並且也可以發現該代碼其實在 2017 年 4 月就已經合併進 libseccomp-golang 的主幹中了,但實際上在今年 6 月在 runc 中才真正修復。
這個問題其實反映出來的是當我們在維護項目時,對自己所用的各種依賴需要有所瞭解和把握,整體來講,儘可能避免依賴項過舊是個好事兒;並且安全問題非常值得關注。
常規更新
- 修改了仍使用
schema1進行鏡像 push/pull 操作時的通知邏輯,早在今年 6 月份我推送的週報中就已經提到過建議升級至schema2來獲得長久的支持,以及更好的兼容性。具體的升級版本之一就是使用最新版的 Docker, 將鏡像 pull 後再重新 push 即可(適用於大多數情況); - 根據
RFC4343Docker 修改了內部 DNS 的邏輯,使其符合了 RFC4343 的規範, DNS 開始不再區分大小寫了 。如果在實際使用中有依賴大小寫解析的情況,請及時修改邏輯。
對此版本感興趣的朋友可以參考 ReleaseNote
Helm v3.0.0-beta.4 發佈
Helm 3 已經進入發佈了 beta4 的版本,現在計劃下個版本是 beta5,仍然將繼續修復 bug 和提升穩定性。
這裏也有一個安全問題: 修復了 CVE-2019-1000008 這個問題一開始是爲 Helm 2 而報告的,但實際上在 Helm 3 中也存在,所以此次 beta4 中包含了修復代碼, 建議升級。
這次的 break change 就 4 個,對於處於 beta 期的 Helm 3 也還可以理解。
以下是一些值得注意的點:
-
--recreate-pods參數被廢棄; -
app version字段被添加到了helm list和helm history中;
對此版本感興趣的朋友可以參考 ReleaseNote
上游進展
- K8S 文檔工作組將會對 K8S 文檔中引用的第三方內容進行清理和組織,以避免文檔中出現過多的 “使用 xx 工具部署 Kubernetes” 之類的內容。(比如“使用 Kind 來部署 Kubernetes 本地集羣” 就是允許存在的內容);
- 同樣的爲了修復安全漏洞 CVE-2019-11253 ,現在限制 YAML/JSON 的解碼大小爲 3M , #83261
活動
本週我在 GitChat 上的新專欄 Docker 核心知識必知必會 https://gitbook.cn/gitchat/co... 正式上線了! (我也來宣傳一波~ 感謝大家支持~
這個專欄涵蓋了 Docker 的核心知識,但是又不僅僅是 Docker;我認爲想要真正掌握 Docker 容器知識,必須通過系統性的學習,很多東西其實依賴於內核實現的功能,如果不能很好的理解這些基礎功能,那以後在生產環境中使用 Docker 容器技術就會比較吃力了。
現在多數公司正在往容器化和 Kubernetes 的環境上遷移,如果能很好的掌握 Docker 容器技術,那無論是在做容器化,還是在使用或者定位 k8s 的問題時,都會遊刃有餘。
現在我將這個專欄推薦給你,萬丈高樓平地起,希望能有所幫助。(掃描下方二維碼或者使用鏈接 https://gitbook.cn/gitchat/co... 皆可訪問)
另外,爲了感謝大家的關注和支持,即日起至 10 月 19 日晚 21 點整,在本文下方留言,得到點贊最多的朋友,我會送出一個免費的兌換碼,用於兌換此專欄。歡迎參與。
(我會在下週週報時,公佈結果。所有渠道共同參與此活動。)
可以通過下面二維碼訂閱我的文章公衆號【MoeLove】,在公衆號後臺回覆 k8s 可加入技術圈交流。
