云原生生态周报 Vol. 14 | K8s CVE 修复指南

业界要闻

1 Mesosphere公司正式更名为 D2IQ， 关注云原生
Mesosophere公司日前发布[官方声明](https://mp.weixin.qq.com/s/nxEEESqxQv5pxwtoDn0gJQ
)正式更名为：D2iQ（Day-Two-I-Q），称关注点转向Kubernetes与云原生领域， 并会继续将“Mesosphere”作为产品技术和品牌的一部。

2 Kubernetes 两个安全漏洞修复指南

2.1 Kubernetes API server 暴出安全漏洞（CVE-2019-11247），该漏洞使得指定了命名空间权限的请求可以访问到集群级别权限的自定义资源（CR），漏洞产生的主要原因在于CRD的服务API没有检查请求的命名空间范围（namespaceScope）。

• 漏洞涉及的版本包括： Kubernetes 1.7.x-1.12.x; Kubernetes 1.13.0-1.13.8; Kubernetes 1.14.0-1.14.4; Kubernetes 1.15.0-1.15.1
• 漏洞的具体影响：对于只被授权某个具体namespace自定义资源的用户，他将可以访问集群级别的自定义资源。
• 处理漏洞的方案：根治的方案是升级到修复了该漏洞的版本，如1.14.5，1.15.2 等，除了升级Kubernetes版本，还可以把一些在namespace里授权了集群级别资源的规则先清理掉，比如一个namespace下的RBCA roles，不要用这种方式授权 resources:[*] , apiGroups:[*] ，也不要授权集群级别的CRD

2.2 kubectl cp 第三次暴出安全漏洞(CVE-2019-11249)，这次的漏洞是可能有潜在攻击者构造恶意容器，使得使用者在使用kubectl cp 命令式本地文件被影响，是一个影响客户端侧的漏洞。

• 漏洞涉及的版本包括: Kubernetes 1.0.x-1.12.x ; Kubernetes 1.13.0-1.13.8 ; Kubernetes 1.14.0-1.14.4 ; Kubernetes 1.15.0-1.15.1
• 漏洞的具体影响：攻击者使用 kubectl cp 可能覆盖指定路径以外的文件。
• 处理漏洞的临时方案：升级客户端工具 kubectl 到最新版本，或者对不可信的workloads先不使用 kubectl cp 命令。

3 思科容器平台支持微软AKS、google开始引导客户迁移到anthos、CloudBees 正式推出 Jenkins X 发行版
相关资料 思科容器平台支持微软AKS、google开始引导客户迁移到anthos、CloudBees 正式推出 Jenkins X 发行版

4 CNCF宣布将于今年 12 月 9 日至 10 日在韩国首尔、 12 月 12 日至 13 日在澳大利亚悉尼，首次举办Kubernetes峰会，以便更好的向全世界传播Kubernetes和云计算。现在在每年三场KubeCon + CloudNativeCon的基础上，开发者、用户、厂商有更多的机会可以在一起面对面的交流合作、学习进步。两个城市在一个星期连续举办的两个活动，有助于国际演讲者和赞助商的影响力提高。 https://mp.weixin.qq.com/s/Xo2BKXfDD36qk3l0VrGEAQ

上游重要进展

Kubernetes 项目

1. admission webhook的admissionreview 类型包从 v1beta 变为 v1 https://github.com/kubernetes/kubernetes/pull/80231
2. 修复kubectl cp的CVE PR：

• Fixed in v1.13.9 by #80871
• Fixed in v1.14.5 by #80870
• Fixed in v1.15.2 by #80869
• Fixed in master by #80436

1. 修复 越过namespace权限访问cluster级别CRD的CVE PR：

• Fixed in v1.13.9 by #80852
• Fixed in v1.14.5 by #80851
• Fixed in v1.15.2 by #80850
• Fixed in master by #80750

Knative 项目

8月6日，knative发布了0.8版本，主要聚焦在功能完善方面，目前 Knative Eventing/Servering 的功能日渐成熟。Knative Serving 0.8主要增加了以下功能：

• Target Burst Capacity (TBC) 支持，用于避免突发流量在queue-proxy里排队。
• 减少Readiness 健康检查需要的时间
• Route/Service的ready状态能代表可以访问了

Knative Eventing 0.8主要增加了以下功能：

• 新增 Choice CRD 资源，用来定义 function 执行流程。通过 Choice， 可以根据条件来选择function 进行事件处理，具备func的编排能力

更详细的解读请阅读文章 "Knative Serving 0.8 变更" 和 "全面解读 Knative Eventing 0.8 版本新特性"

开源项目推荐

1. flux 基于gitops的持续发布（CD）项目，以Kubernetes为底座，主打无状态应用的发布，提供丰富的发布策略。
2. gubernator 高性能分布式限速微服务项目，类似的这种项目之前都是加一个redis之类的缓存实现的，而该项目主打没有外部软件依赖。 https://www.infoq.cn/article/jgZzDBD4IQ*6wHHrpZhv
3. [TiDB operator 1.0 GA]（ https://github.com/pingcap/tidb-operator ）, 该项目是数据库类型的workload如何做operator的一个参考，文章指出目前已经可以在阿里的ACK等云厂商服务上快速体验。 https://pingcap.com/blog/database-cluster-deployment-and-management-made-easy-with-kubernetes/

本周阅读推荐

• 《云原生时代， Kubernetes 多集群架构初探》 该文章从早几年的多集群技术开始，描述了其架构存在的问题，讲到如今云原生时代多集群的架构，以及如何面向多集群做应用管理，多集群技术演变史娓娓道来。
• [复杂性会成为 Kubernetes 的'致命伤'吗？] (https://www.infoq.cn/article/ZK6i*P9ye0NCGHSZQpNO) 近日，外媒 InfoWorld 发表了一篇题为“ Will complexity kill Kubernetes? （复杂性会杀死 Kubernetes 吗？）”的文章，指出了 Kubernetes 本身过于复杂的事实，并分析了这种复杂性与 Hadoop 是否雷同，以及 Kubernetes 最终会不会重蹈 Hadoop 的覆辙。针对上述问题，InfoQ 第一时间对阿里巴巴高级技术专家张磊进行了独家采访，共同探讨 Kubernetes 背后的复杂性问题_
• Helm deployments 关于应用部署，文章对各种利用helm charts或者类似工具进行了对比，描述了helm 2存在的问题，以及其他一系列工具围绕云原生应用管理做了哪些工作，很有借鉴意义。
• CNCF开源了k8s核心组件的安全审计报告，方便用户查看k8s核心组件的安全审计情况，重要的漏洞基本都以CVE的形式呈现，该审计报告主要在各种用户不合理的使用姿势上给出安全警示。
• Serverless系列一：基本概念入门探讨Serverless定义、场景及对云原生时代的应用架构的思考。
• 运行在Istio之上的Apache Kafka——基准测试 ，by Balint Molnar，马若飞 译。本文是一篇Kafka的基准测试分析报告，作者详细介绍了测试的环境和配置选择，并在单集群、多集群、多云、混合云等各种场景下进行了A/B测试和性能分析，评估了Istio的引入对性能的影响情况。
• 构建云原生微服务网关-篇一：Ambassador ，by 陆培尔。在微服务架构中，API网关是一个十分重要的存在。一方面它为外部的流量访问提供了统一的入口，使得可以方便的进行防火墙的策略实施；另一方面，可以在网关处进行流量控制、认证、授权、灰度发布、日志收集、性能分析等各种高级功能，使得业务功能与非业务功能有效解耦，给予了系统架构更大的灵活性。本系列文章尝试分析目前主流的云原生微服务网关，并比较它们各自的优劣。
• Istio 庖丁解牛六：多集群网格应用场景，by 钟华。利用 istio 多集群能力实现「异地容灾」和「地域感知负载均衡」

本周报由阿里巴巴容器平台联合蚂蚁金服共同发布

本文作者：天元、元毅、心水 、张磊、进超
责任编辑：木环

阿里云Kubernetes服务（ACK）是CNCF认证的 Kubernetes 服务平台，也是认证的服务提供商（KCSP），在Forrester和Gartner等分析师报告中，ACK是在国内企业级公有云容器平台排名第一，为众多国内外企业提供了稳定、可靠的云原生应用创新平台。更多详情点击了解：https://www.aliyun.com/product/kubernetes

云原生生态周报 Vol. 13 | Forrester 发布企业级容器平台报告
云原生生态周报 Vol. 12 | K8s 1.16 API 重大变更
云原生生态周报 Vol. 11 | K8s 1.16 早知道
云原生生态周报 Vol. 10 | 数据库能否运行在 K8s 当中？
云原生生态周报 Vol. 9 | K8s 1.15 后的性能提升
云原生生态周报 Vol. 8 | Gartner 发布云原生趋势
云原生生态周报 Vol. 7 | Docker 再爆 CVE
云原生生态周报 Vol. 6 | KubeCon EU 特刊
云原生生态周报 Vol. 5 | etcd性能知多少
云原生生态周报 Vol. 4 | Twitter 走向 K8s
云原生生态周报 Vol. 3 | Java 8 ️️ Docker