AI 助理
备案控制台
开发者社区 云原生 文章 正文

云原生生态周报 Vol. 14 | K8s CVE 修复指南

2019-08-12 4464
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 业界要闻1 Mesosphere公司正式更名为 D2IQ, 关注云原生 Mesosophere公司日前发布[官方声明](https://mp.weixin.qq.com/s/nxEEESqxQv5pxwtoDn0gJQ)正式更名为:D2iQ(Day-Two-I-Q),称关注点转向Kubernetes与云原生领域, 并会继续将“Mesosphere”作为产品技术和品牌的一部。

业界要闻

1 Mesosphere公司正式更名为 D2IQ, 关注云原生
Mesosophere公司日前发布[官方声明](https://mp.weixin.qq.com/s/nxEEESqxQv5pxwtoDn0gJQ
)正式更名为:D2iQ(Day-Two-I-Q),称关注点转向Kubernetes与云原生领域, 并会继续将“Mesosphere”作为产品技术和品牌的一部。

2 Kubernetes 两个安全漏洞修复指南

2.1 Kubernetes API server 暴出安全漏洞(CVE-2019-11247),该漏洞使得指定了命名空间权限的请求可以访问到集群级别权限的自定义资源(CR),漏洞产生的主要原因在于CRD的服务API没有检查请求的命名空间范围(namespaceScope)。

  • 漏洞涉及的版本包括: Kubernetes 1.7.x-1.12.x; Kubernetes 1.13.0-1.13.8; Kubernetes 1.14.0-1.14.4; Kubernetes 1.15.0-1.15.1
  • 漏洞的具体影响:对于只被授权某个具体namespace自定义资源的用户,他将可以访问集群级别的自定义资源。
  • 处理漏洞的方案:根治的方案是升级到修复了该漏洞的版本,如1.14.51.15.2 等,除了升级Kubernetes版本,还可以把一些在namespace里授权了集群级别资源的规则先清理掉,比如一个namespace下的RBCA roles,不要用这种方式授权 resources:[*] , apiGroups:[*] ,也不要授权集群级别的CRD

2.2 kubectl cp 第三次暴出安全漏洞(CVE-2019-11249),这次的漏洞是可能有潜在攻击者构造恶意容器,使得使用者在使用kubectl cp 命令式本地文件被影响,是一个影响客户端侧的漏洞。

  • 漏洞涉及的版本包括: Kubernetes 1.0.x-1.12.x ; Kubernetes 1.13.0-1.13.8 ; Kubernetes 1.14.0-1.14.4 ; Kubernetes 1.15.0-1.15.1
  • 漏洞的具体影响:攻击者使用 kubectl cp 可能覆盖指定路径以外的文件。
  • 处理漏洞的临时方案:升级客户端工具 kubectl 到最新版本,或者对不可信的workloads先不使用 kubectl cp 命令。

3 思科容器平台支持微软AKS、google开始引导客户迁移到anthos、CloudBees 正式推出 Jenkins X 发行版
相关资料 思科容器平台支持微软AKSgoogle开始引导客户迁移到anthosCloudBees 正式推出 Jenkins X 发行版

4 CNCF宣布将于今年 12 月 9 日至 10 日在韩国首尔、 12 月 12 日至 13 日在澳大利亚悉尼,首次举办Kubernetes峰会,以便更好的向全世界传播Kubernetes和云计算。现在在每年三场KubeCon + CloudNativeCon的基础上,开发者、用户、厂商有更多的机会可以在一起面对面的交流合作、学习进步。两个城市在一个星期连续举办的两个活动,有助于国际演讲者和赞助商的影响力提高。 https://mp.weixin.qq.com/s/Xo2BKXfDD36qk3l0VrGEAQ

上游重要进展

Kubernetes 项目

  1. admission webhook的admissionreview 类型包从 v1beta 变为 v1 https://github.com/kubernetes/kubernetes/pull/80231
  2. 修复kubectl cp的CVE PR:
  1. 修复 越过namespace权限访问cluster级别CRD的CVE PR:

Knative 项目

8月6日,knative发布了0.8版本,主要聚焦在功能完善方面,目前 Knative Eventing/Servering 的功能日渐成熟。Knative Serving 0.8主要增加了以下功能:

  • Target Burst Capacity (TBC) 支持,用于避免突发流量在queue-proxy里排队。
  • 减少Readiness 健康检查需要的时间
  • Route/Service的ready状态能代表可以访问了

Knative Eventing 0.8主要增加了以下功能:

  • 新增 Choice CRD 资源,用来定义 function 执行流程。通过 Choice, 可以根据条件来选择function 进行事件处理,具备func的编排能力

更详细的解读请阅读文章 "Knative Serving 0.8 变更" 和 "全面解读 Knative Eventing 0.8 版本新特性"

开源项目推荐

  1. flux 基于gitops的持续发布(CD)项目,以Kubernetes为底座,主打无状态应用的发布,提供丰富的发布策略。
  2. gubernator 高性能分布式限速微服务项目,类似的这种项目之前都是加一个redis之类的缓存实现的,而该项目主打没有外部软件依赖。 https://www.infoq.cn/article/jgZzDBD4IQ*6wHHrpZhv
  3. [TiDB operator 1.0 GA]( https://github.com/pingcap/tidb-operator ), 该项目是数据库类型的workload如何做operator的一个参考,文章指出目前已经可以在阿里的ACK等云厂商服务上快速体验。 https://pingcap.com/blog/database-cluster-deployment-and-management-made-easy-with-kubernetes/

本周阅读推荐

  • 《云原生时代, Kubernetes 多集群架构初探》 该文章从早几年的多集群技术开始,描述了其架构存在的问题,讲到如今云原生时代多集群的架构,以及如何面向多集群做应用管理,多集群技术演变史娓娓道来。
  • [复杂性会成为 Kubernetes 的'致命伤'吗?] (https://www.infoq.cn/article/ZK6i*P9ye0NCGHSZQpNO) 近日,外媒 InfoWorld 发表了一篇题为“ Will complexity kill Kubernetes? (复杂性会杀死 Kubernetes 吗?)”的文章,指出了 Kubernetes 本身过于复杂的事实,并分析了这种复杂性与 Hadoop 是否雷同,以及 Kubernetes 最终会不会重蹈 Hadoop 的覆辙。针对上述问题,InfoQ 第一时间对阿里巴巴高级技术专家张磊进行了独家采访,共同探讨 Kubernetes 背后的复杂性问题_
  • Helm deployments 关于应用部署,文章对各种利用helm charts或者类似工具进行了对比,描述了helm 2存在的问题,以及其他一系列工具围绕云原生应用管理做了哪些工作,很有借鉴意义。
  • CNCF开源了k8s核心组件的安全审计报告,方便用户查看k8s核心组件的安全审计情况,重要的漏洞基本都以CVE的形式呈现,该审计报告主要在各种用户不合理的使用姿势上给出安全警示。
  • Serverless系列一:基本概念入门探讨Serverless定义、场景及对云原生时代的应用架构的思考。
  • 运行在Istio之上的Apache Kafka——基准测试 ,by Balint Molnar,马若飞 译。本文是一篇Kafka的基准测试分析报告,作者详细介绍了测试的环境和配置选择,并在单集群、多集群、多云、混合云等各种场景下进行了A/B测试和性能分析,评估了Istio的引入对性能的影响情况。
  • 构建云原生微服务网关-篇一:Ambassador ,by 陆培尔。在微服务架构中,API网关是一个十分重要的存在。一方面它为外部的流量访问提供了统一的入口,使得可以方便的进行防火墙的策略实施;另一方面,可以在网关处进行流量控制、认证、授权、灰度发布、日志收集、性能分析等各种高级功能,使得业务功能与非业务功能有效解耦,给予了系统架构更大的灵活性。本系列文章尝试分析目前主流的云原生微服务网关,并比较它们各自的优劣。
  • Istio 庖丁解牛六:多集群网格应用场景,by 钟华。利用 istio 多集群能力实现「异地容灾」和「地域感知负载均衡」

本周报由阿里巴巴容器平台联合蚂蚁金服共同发布

本文作者:天元、元毅、心水 、张磊、进超
责任编辑:木环

阿里云Kubernetes服务(ACK)是CNCF认证的 Kubernetes 服务平台,也是认证的服务提供商(KCSP),在Forrester和Gartner等分析师报告中,ACK是在国内企业级公有云容器平台排名第一,为众多国内外企业提供了稳定、可靠的云原生应用创新平台。更多详情点击了解:https://www.aliyun.com/product/kubernetes

云原生生态周报 Vol. 13 | Forrester 发布企业级容器平台报告
云原生生态周报 Vol. 12 | K8s 1.16 API 重大变更
云原生生态周报 Vol. 11 | K8s 1.16 早知道
云原生生态周报 Vol. 10 | 数据库能否运行在 K8s 当中?
云原生生态周报 Vol. 9 | K8s 1.15 后的性能提升
云原生生态周报 Vol. 8 | Gartner 发布云原生趋势
云原生生态周报 Vol. 7 | Docker 再爆 CVE
云原生生态周报 Vol. 6 | KubeCon EU 特刊
云原生生态周报 Vol. 5 | etcd性能知多少
云原生生态周报 Vol. 4 | Twitter 走向 K8s
云原生生态周报 Vol. 3 | Java 8 ️️ Docker

文章标签:
容器服务Kubernetes版
容器
Kubernetes
Cloud Native
安全
微服务
关键词:
容器服务Kubernetes版云原生
云原生k8s
容器服务Kubernetes版修复
云原生生态
容器服务Kubernetes版生态
相关实践学习
通过Ingress进行灰度发布
本场景您将运行一个简单的应用,部署一个新的应用用于新的发布,并通过Ingress能力实现灰度发布。
容器应用与集群管理
欢迎来到《容器应用与集群管理》课程,本课程是“云原生容器Clouder认证“系列中的第二阶段。课程将向您介绍与容器集群相关的概念和技术,这些概念和技术可以帮助您了解阿里云容器服务ACK/ACK Serverless的使用。同时,本课程也会向您介绍可以采取的工具、方法和可操作步骤,以帮助您了解如何基于容器服务ACK Serverless构建和管理企业级应用。 学习完本课程后,您将能够: 掌握容器集群、容器编排的基本概念 掌握Kubernetes的基础概念及核心思想 掌握阿里云容器服务ACK/ACK Serverless概念及使用方法 基于容器服务ACK Serverless搭建和管理企业级网站应用
木环
目录
相关文章
栈江湖
|
13天前
|
存储 Kubernetes 开发者
容器化时代的领航者:Docker 和 Kubernetes 云原生时代的黄金搭档
Docker 是一种开源的应用容器引擎,允许开发者将应用程序及其依赖打包成可移植的镜像,并在任何支持 Docker 的平台上运行。其核心概念包括镜像、容器和仓库。镜像是只读的文件系统,容器是镜像的运行实例,仓库用于存储和分发镜像。Kubernetes(k8s)则是容器集群管理系统,提供自动化部署、扩展和维护等功能,支持服务发现、负载均衡、自动伸缩等特性。两者结合使用,可以实现高效的容器化应用管理和运维。Docker 主要用于单主机上的容器管理,而 Kubernetes 则专注于跨多主机的容器编排与调度。尽管 k8s 逐渐减少了对 Docker 作为容器运行时的支持,但 Doc
栈江湖
77 5
容器化时代的领航者:Docker 和 Kubernetes 云原生时代的黄金搭档
游客moiomvrp3vyac2
|
2月前
|
Kubernetes Cloud Native 微服务
云原生入门与实践:Kubernetes的简易部署
云原生技术正改变着现代应用的开发和部署方式。本文将引导你了解云原生的基础概念,并重点介绍如何使用Kubernetes进行容器编排。我们将通过一个简易的示例来展示如何快速启动一个Kubernetes集群,并在其上运行一个简单的应用。无论你是云原生新手还是希望扩展现有知识,本文都将为你提供实用的信息和启发性的见解。
游客moiomvrp3vyac2
70 3
游客moiomvrp3vyac2
|
2月前
|
Kubernetes Cloud Native 开发者
云原生入门:Kubernetes的简易指南
【10月更文挑战第41天】本文将带你进入云原生的世界,特别是Kubernetes——一个强大的容器编排平台。我们将一起探索它的基本概念和操作,让你能够轻松管理和部署应用。无论你是新手还是有经验的开发者,这篇文章都能让你对Kubernetes有更深入的理解。
游客moiomvrp3vyac2
55 11
历年考试不作弊
|
2月前
|
运维 Kubernetes Cloud Native
云原生技术入门:Kubernetes和Docker的协同工作
【10月更文挑战第43天】在云计算时代,云原生技术成为推动现代软件部署和运行的关键力量。本篇文章将带你了解云原生的基本概念,重点探讨Kubernetes和Docker如何协同工作以支持容器化应用的生命周期管理。通过实际代码示例,我们将展示如何在Kubernetes集群中部署和管理Docker容器,从而为初学者提供一条清晰的学习路径。
历年考试不作弊
52 1
游客qf4jmczx4xu2y
|
2月前
|
Kubernetes Cloud Native 云计算
云原生入门:Kubernetes 和容器化基础
在这篇文章中,我们将一起揭开云原生技术的神秘面纱。通过简单易懂的语言,我们将探索如何利用Kubernetes和容器化技术简化应用的部署和管理。无论你是初学者还是有一定经验的开发者,本文都将为你提供一条清晰的道路,帮助你理解和运用这些强大的工具。让我们从基础开始,逐步深入了解,最终能够自信地使用这些技术来优化我们的工作流程。
游客qf4jmczx4xu2y
44 0
阿里云基础设施.
|
10天前
|
Prometheus Kubernetes 监控
OpenAI故障复盘 - 阿里云容器服务与可观测产品如何保障大规模K8s集群稳定性
聚焦近日OpenAI的大规模K8s集群故障,介绍阿里云容器服务与可观测团队在大规模K8s场景下我们的建设与沉淀。以及分享对类似故障问题的应对方案:包括在K8s和Prometheus的高可用架构设计方面、事前事后的稳定性保障体系方面。
阿里云基础设施.
77 15
蓝易云
|
8天前
|
Kubernetes Ubuntu 网络安全
ubuntu使用kubeadm搭建k8s集群
通过以上步骤,您可以在 Ubuntu 系统上使用 kubeadm 成功搭建一个 Kubernetes 集群。本文详细介绍了从环境准备、安装 Kubernetes 组件、初始化集群到管理和使用集群的完整过程,希望对您有所帮助。在实际应用中,您可以根据具体需求调整配置,进一步优化集群性能和安全性。
蓝易云
44 12
栈江湖
|
13天前
|
Kubernetes 网络协议 应用服务中间件
Kubernetes Ingress:灵活的集群外部网络访问的利器
《Kubernetes Ingress:集群外部访问的利器-打造灵活的集群网络》介绍了如何通过Ingress实现Kubernetes集群的外部访问。前提条件是已拥有Kubernetes集群并安装了kubectl工具。文章详细讲解了Ingress的基本组成(Ingress Controller和资源对象),选择合适的版本,以及具体的安装步骤,如下载配置文件、部署Nginx Ingress Controller等。此外,还提供了常见问题的解决方案,例如镜像下载失败的应对措施。最后,通过部署示例应用展示了Ingress的实际使用方法。
栈江湖
29 2
弹性计算-百晓生
|
25天前
|
存储 Kubernetes 关系型数据库
阿里云ACK备份中心,K8s集群业务应用数据的一站式灾备方案
本文源自2024云栖大会苏雅诗的演讲,探讨了K8s集群业务为何需要灾备及其重要性。文中强调了集群与业务高可用配置对稳定性的重要性,并指出人为误操作等风险,建议实施周期性和特定情况下的灾备措施。针对容器化业务,提出了灾备的新特性与需求,包括工作负载为核心、云资源信息的备份,以及有状态应用的数据保护。介绍了ACK推出的备份中心解决方案,支持命名空间、标签、资源类型等维度的备份,并具备存储卷数据保护功能,能够满足GitOps流程企业的特定需求。此外,还详细描述了备份中心的使用流程、控制台展示、灾备难点及解决方案等内容,展示了备份中心如何有效应对K8s集群资源和存储卷数据的灾备挑战。
弹性计算-百晓生
54 5
Java时光
|
2月前
|
Kubernetes 监控 Cloud Native
Kubernetes集群的高可用性与伸缩性实践
Kubernetes集群的高可用性与伸缩性实践
Java时光
78 1

热门文章

最新文章

  • 1
    《docker高级篇(大厂进阶):7.Docker容器监控之CAdvisor+InfluxDB+Granfana》包括:原生命令、是什么、compose容器编排,一套带走
  • 2
    二进制安装Kubernetes(k8s)v1.32.0
  • 3
    《docker高级篇(大厂进阶):5.Docker-compose容器编排》包括是什么能干嘛去哪下、Compose核心概念、Compose使用三个步骤、Compose常用命令、Compose编排微服务
  • 4
    K8S 拉取私有仓库镜像
  • 5
    《docker高级篇(大厂进阶):5.Docker-compose容器编排》包括是什么能干嘛去哪下、Compose核心概念、Compose使用三个步骤、Compose常用命令、Compose编排微服务
  • 6
    阿里云 ACK FinOps成本优化最佳实践
  • 7
    阿里云 ACK 高可用稳定性最佳实践
  • 8
    赋能加速AI应用交付,F5 BIG-IP Next for Kubernetes方案解读
  • 9
    阿里云ACK容器服务生产级可观测体系建设实践
  • 10
    Docker与Kubernetes的协同工作
  • 1
    OpenNJet:新一代云原生应用引擎
    86
  • 2
    构建未来:云原生架构在企业数字化转型中的关键作用
    56
  • 3
    云原生一体化数据库技术是一个具有潜力的领域
    119
  • 4
    构建高效稳定的云原生运维体系
    174
  • 5
    探索云原生架构的未来之路
    44
  • 6
    构建未来:云原生架构在企业数字化转型中的关键作用
    51
  • 7
    构建未来:云原生架构在现代企业中的应用与挑战
    74
  • 8
    构建未来:云原生技术在企业数字化转型中的关键作用
    39
  • 9
    构建未来:云原生架构在现代企业中的应用与挑战
    51
  • 10
    云原生之使用Docker部署Teedy轻量级文档管理系统
    245

    • 相关课程

    更多
  • 云计算、容器和云原生基础课程
  • ALPD云架构师系列:云原生DevOps 36计 -阿里云云效出品
  • 云原生实践公开课
  • 云原生基础概念及阿里云云原生产品介绍
  • CNCF Alibaba 云原生技术公开课
  • Kubernetes云原生管理实践

    • 相关电子书

    更多
  • 阿里云云原生技术实践营 | 上海站
  • 阿里云云原生 Serverless 技术实践营西安站材料合集
  • 智算时代,基于 Kubernetes 落地云原生 AI

    • 相关实验场景

    更多
  • 云原生场景自动化响应ECS系统事件
  • 在ACK Serverless中部署Stable Diffusion应用
  • 云原生HTAP数据库,让你的交易和分析一库搞定
  • 云原生AI套件:五分钟微调宝可梦风格StableDiffusion
  • 使用ACK Serverless容器化部署大语言模型FastChat
  • 基于云原生网关MSE-Higress插件实现WAF防护能力

    • 推荐镜像

    更多
  • kubernetes
  • docker-ce
  • pouch
    • 下一篇
    阿里云无影云电脑免费试用,最长可试用3个月