「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。
CoreDNS v1.7.0 发布
CoreDNS 本周发布了 v1.7.0 版本, 这是一个向后不兼容的版本。 主要包含了以下几个方面:
-
#3776更好的 metrics 名称,其修改了大量的 metrics 名称,Dashborad 之类的都需要修改了。 例如:
coredns_request_block_count_total
->coredns_dns_blocked_requests_total
-
#3794
federation
插件已经被移除 (v1 Kubernetes federation); - 从
kubernetes
插件中删除了一些代码, 所以它不会作为外部插件构建; -
#3534 新的
dns64
插件,由外部转为内置插件,该插件提供了 DNS64 IPv6 地址转换机制; -
#3737
plugin/kubernetes
: 移除了已经过期的resyncperiod
和upstream
选项;
以上便是此版本中值得注意的变更,更多详细内容请参看其 ReleaseNote
Helm v3.2.4 发布
这是一个安全更新版本,主要是为了修正一个漏洞,该漏洞影响了 v3.2.4 之前所有 Helm v3 版本。漏洞号为 CVE-2020-4053
此漏洞的具体影响范围是,当通过 HTTP 的方式从远程来安装一个 Plugin 的时候,可能会发生文件目录的遍历攻击。攻击者可能会在恶意插件中包含相对路径,以此来将攻击文件复制到预期的文件目录之外。
这是一种很常见的攻击方法,在之前的「K8S 生态周报」文章中,我也介绍过类似的利用这种文件目录遍历的漏洞。
修正方式也很简单,对于文件的解压操作,判断是否包含相对路径,如果有,则抛出异常(这里主要是为了警示用户,其安装的内容中可能有恶意行为)。
对此版本感兴趣的朋友,可以直接下载 使用。
Istio v1.6.3 发布
本周 Istio 发布了 v1.6.3 ,此版本的主要变更如下:
-
#24264 修复了 istio 崩溃信息为
proto.Message is *client.QuotaSpecBinding, not *client.QuotaSpecBinding
的问题; -
#24365) 修正了
SidecarInjectionSpec
CRD, 从.Values.global
阅读imagePullSecret
; -
#24469) 当
gateway.runAsRoot
开启时,从PodSecurityContext
移除了无效的配置;
更多关于此版本的信息,请参考其 ReleaseNote 。
Rook v1.3.6 发布
Rook 已经提交了从 CNCF 托管项目中毕业的申请,可能还需要一段时间才能毕业吧。
我们来看看本次 Rook v1.3.6 版本的更新内容:
- #5603 将 CSI 驱动升级到了 v2.1.2;
- #5309 修复了 template size 增加时,OSD PVC size 不增加的问题;
- #5595 修改了 svc port 的名称,需求主要来自想要将 rook 与 Istio 集成,其中 kiali 要求 port 名称必须有个协议前缀,具体信息请参考 https://kiali.io/documentatio... ;
- #5606 修正了小集群(比如 OSD 为 3) 当 OSD 更新时,获取的 OSD 数量不准确的情况;
更多关于此版本的详细信息,请参考其 ReleaseNote
上游进展
-
#90569
kubectl run
增加了一个--privileged
的参数; -
#91952 为
kubeadm join
增加了一个重试的循环, 默认写超时是 40 s, 读超时是 15s ;
欢迎订阅我的文章公众号【MoeLove】
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。