「K8S 生態週報」內容主要包含我所接觸到的 K8S 生態相關的每週值得推薦的一些信息。歡迎訂閱知乎專欄「k8s生態」。
CoreDNS v1.7.0 發佈
CoreDNS 本週發佈了 v1.7.0 版本, 這是一個向後不兼容的版本。 主要包含了以下幾個方面:
-
#3776更好的 metrics 名稱,其修改了大量的 metrics 名稱,Dashborad 之類的都需要修改了。 例如:
coredns_request_block_count_total
->coredns_dns_blocked_requests_total
-
#3794
federation
插件已經被移除 (v1 Kubernetes federation); - 從
kubernetes
插件中刪除了一些代碼, 所以它不會作爲外部插件構建; -
#3534 新的
dns64
插件,由外部轉爲內置插件,該插件提供了 DNS64 IPv6 地址轉換機制; -
#3737
plugin/kubernetes
: 移除了已經過期的resyncperiod
和upstream
選項;
以上便是此版本中值得注意的變更,更多詳細內容請參看其 ReleaseNote
Helm v3.2.4 發佈
這是一個安全更新版本,主要是爲了修正一個漏洞,該漏洞影響了 v3.2.4 之前所有 Helm v3 版本。漏洞號爲 CVE-2020-4053
此漏洞的具體影響範圍是,當通過 HTTP 的方式從遠程來安裝一個 Plugin 的時候,可能會發生文件目錄的遍歷攻擊。攻擊者可能會在惡意插件中包含相對路徑,以此來將攻擊文件複製到預期的文件目錄之外。
這是一種很常見的攻擊方法,在之前的「K8S 生態週報」文章中,我也介紹過類似的利用這種文件目錄遍歷的漏洞。
修正方式也很簡單,對於文件的解壓操作,判斷是否包含相對路徑,如果有,則拋出異常(這裏主要是爲了警示用戶,其安裝的內容中可能有惡意行爲)。
對此版本感興趣的朋友,可以直接下載 使用。
Istio v1.6.3 發佈
本週 Istio 發佈了 v1.6.3 ,此版本的主要變更如下:
-
#24264 修復了 istio 崩潰信息爲
proto.Message is *client.QuotaSpecBinding, not *client.QuotaSpecBinding
的問題; -
#24365) 修正了
SidecarInjectionSpec
CRD, 從.Values.global
閱讀imagePullSecret
; -
#24469) 當
gateway.runAsRoot
開啓時,從PodSecurityContext
移除了無效的配置;
更多關於此版本的信息,請參考其 ReleaseNote 。
Rook v1.3.6 發佈
Rook 已經提交了從 CNCF 託管項目中畢業的申請,可能還需要一段時間才能畢業吧。
我們來看看本次 Rook v1.3.6 版本的更新內容:
- #5603 將 CSI 驅動升級到了 v2.1.2;
- #5309 修復了 template size 增加時,OSD PVC size 不增加的問題;
- #5595 修改了 svc port 的名稱,需求主要來自想要將 rook 與 Istio 集成,其中 kiali 要求 port 名稱必須有個協議前綴,具體信息請參考 https://kiali.io/documentation/validations/#_kia0601_port_name_must_follow_protocol_suffix_form ;
- #5606 修正了小集羣(比如 OSD 爲 3) 當 OSD 更新時,獲取的 OSD 數量不準確的情況;
更多關於此版本的詳細信息,請參考其 ReleaseNote
上游進展
-
#90569
kubectl run
增加了一個--privileged
的參數; -
#91952 爲
kubeadm join
增加了一個重試的循環, 默認寫超時是 40 s, 讀超時是 15s ;
歡迎訂閱我的文章公衆號【MoeLove】