11 月 19 - 20 日 Apache Pulsar 社区年度盛会来啦,立即报名! 了解详情
写点什么

云原生生态周报 Vol. 14:K8s CVE 修复指南

  • 2019-08-14
  • 本文字数:3165 字

    阅读完需:约 10 分钟

云原生生态周报 Vol. 14:K8s CVE 修复指南

前言

《云原生生态周报》由阿里云容器平台联合蚂蚁金服共同发布,每周一期。众多一线社区专家与您一起“跟踪动态,读懂社区”,分享云原生社区项目进展、活动发布、精选博客等信息。以下是第十四期云原生生态周报的内容。


业界要闻

1 Mesosphere 公司正式更名为 D2IQ, 关注云原生


Mesosophere 公司日前发布官方声明正式更名为:D2iQ(Day-Two-I-Q),称关注点转向 Kubernetes 与云原生领域, 并会继续将“Mesosphere”作为产品技术和品牌的一部。


2 Kubernetes 两个安全漏洞修复指南


2.1 Kubernetes API server 暴出安全漏洞(CVE-2019-11247),该漏洞使得指定了命名空间权限的请求可以访问到集群级别权限的自定义资源(CR),漏洞产生的主要原因在于 CRD 的服务 API 没有检查请求的命名空间范围(namespaceScope)。


  • 漏洞涉及的版本包括: Kubernetes 1.7.x-1.12.x; Kubernetes 1.13.0-1.13.8; Kubernetes 1.14.0-1.14.4; Kubernetes 1.15.0-1.15.1

  • 漏洞的具体影响:对于只被授权某个具体 namespace 自定义资源的用户,他将可以访问集群级别的自定义资源。

  • 处理漏洞的方案:根治的方案是升级到修复了该漏洞的版本,如1.14.51.15.2 等,除了升级 Kubernetes 版本,还可以把一些在 namespace 里授权了集群级别资源的规则先清理掉,比如一个 namespace 下的 RBCA roles,不要用这种方式授权 resources:[*] , apiGroups:[*] ,也不要授权集群级别的 CRD


2.2 kubectl cp 第三次暴出安全漏洞(CVE-2019-11249),这次的漏洞是可能有潜在攻击者构造恶意容器,使得使用者在使用 kubectl cp 命令式本地文件被影响,是一个影响客户端侧的漏洞。


  • 漏洞涉及的版本包括: Kubernetes 1.0.x-1.12.x ; Kubernetes 1.13.0-1.13.8 ; Kubernetes 1.14.0-1.14.4 ; Kubernetes 1.15.0-1.15.1

  • 漏洞的具体影响:攻击者使用 kubectl cp 可能覆盖指定路径以外的文件。

  • 处理漏洞的临时方案:升级客户端工具 kubectl 到最新版本,或者对不可信的 workloads 先不使用 kubectl cp 命令。


3 思科容器平台支持微软 AKS、google 开始引导客户迁移到 anthos、CloudBees 正式推出 Jenkins X 发行版


相关资料:


思科容器平台支持微软AKS


google开始引导客户迁移到anthos


CloudBees 正式推出 Jenkins X 发行版


4 CNCF 宣布将于今年 12 月 9 日至 10 日在韩国首尔、 12 月 12 日至 13 日在澳大利亚悉尼,首次举办 Kubernetes 峰会,以便更好的向全世界传播 Kubernetes 和云计算。现在在每年三场 KubeCon + CloudNativeCon 的基础上,开发者、用户、厂商有更多的机会可以在一起面对面的交流合作、学习进步。两个城市在一个星期连续举办的两个活动,有助于国际演讲者和赞助商的影响力提高。 https://mp.weixin.qq.com/s/Xo2BKXfDD36qk3l0VrGEAQ


上游重要进展

Kubernetes 项目

  1. admission webhook 的 admissionreview 类型包从 v1beta 变为 v1


https://github.com/kubernetes/kubernetes/pull/80231


2. 修复 kubectl cp 的 CVE PR:



  1. 修复 越过 namespace 权限访问 cluster 级别 CRD 的 CVE PR:



Knative 项目

8 月 6 日,knative 发布了 0.8 版本,主要聚焦在功能完善方面,目前 Knative Eventing/Servering 的功能日渐成熟。Knative Serving 0.8 主要增加了以下功能:


  • Target Burst Capacity (TBC) 支持,用于避免突发流量在 queue-proxy 里排队。

  • 减少 Readiness 健康检查需要的时间

  • Route/Service 的 ready 状态能代表可以访问了


Knative Eventing 0.8 主要增加了以下功能:


  • 新增 Choice CRD 资源,用来定义 function 执行流程。通过 Choice, 可以根据条件来选择 function 进行事件处理,具备 func 的编排能力


更详细的解读请阅读文章 “Knative Serving 0.8 变更” 和 “全面解读 Knative Eventing 0.8 版本新特性


开源项目推荐

  1. flux 基于 gitops 的持续发布(CD)项目,以 Kubernetes 为底座,主打无状态应用的发布,提供丰富的发布策略。

  2. gubernator 高性能分布式限速微服务项目,类似的这种项目之前都是加一个 redis 之类的缓存实现的,而该项目主打没有外部软件依赖。

  3. https://www.infoq.cn/article/jgZzDBD4IQ*6wHHrpZhv

  4. TiDB operator 1.0 GA, 该项目是数据库类型的 workload 如何做 operator 的一个参考,文章指出目前已经可以在阿里的 ACK 等云厂商服务上快速体验。

  5. https://pingcap.com/blog/database-cluster-deployment-and-management-made-easy-with-kubernetes/


本周阅读推荐

  • 《云原生时代, Kubernetes 多集群架构初探》 :该文章从早几年的多集群技术开始,描述了其架构存在的问题,讲到如今云原生时代多集群的架构,以及如何面向多集群做应用管理,多集群技术演变史娓娓道来。

  • 复杂性会成为 Kubernetes 的’致命伤’吗?:近日,外媒 InfoWorld 发表了一篇题为“ Will complexity kill Kubernetes? (复杂性会杀死 Kubernetes 吗?)”的文章,指出了 Kubernetes 本身过于复杂的事实,并分析了这种复杂性与 Hadoop 是否雷同,以及 Kubernetes 最终会不会重蹈 Hadoop 的覆辙。针对上述问题,InfoQ 第一时间对阿里巴巴高级技术专家张磊进行了独家采访,共同探讨 Kubernetes 背后的复杂性问题。

  • Helm deployments :关于应用部署,文章对各种利用 helm charts 或者类似工具进行了对比,描述了 helm 2 存在的问题,以及其他一系列工具围绕云原生应用管理做了哪些工作,很有借鉴意义。

  • CNCF 开源了 k8s 核心组件的安全审计报告 ,方便用户查看 k8s 核心组件的安全审计情况,重要的漏洞基本都以 CVE 的形式呈现,该审计报告主要在各种用户不合理的使用姿势上给出安全警示。

  • Serverless系列一:基本概念入门探讨 Serverless 定义、场景及对云原生时代的应用架构的思考。

  • 运行在Istio之上的Apache Kafka——基准测试 ,by Balint Molnar,马若飞 译。本文是一篇 Kafka 的基准测试分析报告,作者详细介绍了测试的环境和配置选择,并在单集群、多集群、多云、混合云等各种场景下进行了 A/B 测试和性能分析,评估了 Istio 的引入对性能的影响情况。

  • 构建云原生微服务网关-篇一:Ambassador ,by 陆培尔。在微服务架构中,API 网关是一个十分重要的存在。一方面它为外部的流量访问提供了统一的入口,使得可以方便的进行防火墙的策略实施;另一方面,可以在网关处进行流量控制、认证、授权、灰度发布、日志收集、性能分析等各种高级功能,使得业务功能与非业务功能有效解耦,给予了系统架构更大的灵活性。本系列文章尝试分析目前主流的云原生微服务网关,并比较它们各自的优劣。

  • Istio 庖丁解牛六:多集群网格应用场景,by 钟华。利用 istio 多集群能力实现「异地容灾」和「地域感知负载均衡」


本周报由阿里巴巴容器平台联合蚂蚁金服共同发布


本文作者:天元、元毅、心水 、张磊、进超


责任编辑:木环


相关阅读:


云原生生态周报 Vol. 13 | Forrester 发布企业级容器平台报告


云原生生态周报 Vol. 12 |K8s 1.16 API 重大变更


云原生生态周报 Vol. 11 | K8s 1.16 早知道


云原生生态周报 Vol. 10 | 数据库能否运行在 K8s 当中?


云原生生态周报 Vol. 9 | K8s 1.15 后的性能提升


云原生生态周报 Vol. 8 | Gartner 发布云原生趋势


云原生生态周报 Vol. 7 | Docker 再爆 CVE


云原生生态周报 Vol. 6 | KubeCon EU 亮点汇总


云原生生态周报 Vol. 5 | etcd 性能知多少


云原生生态周报 Vol.4 | Twitter 从 Mesos 全面转向 Kubernetes


云原生生态周报 Vol. 3 | Docker Hub 遭入侵,Java 8 开始提供良好的容器支持


云原生生态周报 Vol. 2 | Godaddy 开源 KES、CNCF 提供免费云原生课程


云原生生态周报 Vol. 1 | Google 发布 Cloud Run,开源项目 Kubecost 让 K8s 花费一目了然


2019-08-14 10:042212

评论

发布
暂无评论
发现更多内容

【盘点2020】连续8个月霸榜,年度最佳公有云竟然是它?

博睿数据

产品经理训练营-第三周作业

羽室

基于Segment Routing技术构建新一代骨干网:智能、可靠、可调度(二)

UCloud技术

云计算 运维 云网络

5G专网是个大西瓜(二):碰撞之谜

脑极体

Linux-Lab 入门:详细步骤分解

贾献华

Linux 嵌入式 Linux Kenel 开发板 boot

官宣 | Atlassian 针对中国市场推出适用于所有团队的本地化部署方案!

Atlassian

项目管理 DevOps 敏捷 Atlassian Jira

链上公开透明 链下迷雾重重 区块天眼能否拨开行业疑云

CECBC

区块链

区块链时代,企业如何构筑竞争力的护城河?

CECBC

区块链

硬盘的秘密

yes

机械硬盘

基于Segment Routing技术构建新一代骨干网:智能、可靠、可调度(一)

UCloud技术

云计算 网络 云网络

原子性操作类的使用

武哥聊编程

Java 多线程 原子性 28天写作

5 个最值得注意的开源集中式日志管理工具

程序员石磊

Linux 日志 性能监控 日志监控

学习感恩

谷鱼

Nacos源码编译

Fox

nacos

💯 关于 TCP 三次握手和四次挥手,满分回答在此

飞天小牛肉

面试 后端 计算机网络 TCP/IP 2月春节不断更

游戏夜读 | 游戏中的确定性

game1night

日记 2021年2月3日(周三)

Changing Lin

个人感悟 2月春节不断更

商务部发力数字商务:鼓励企业开展区块链等先进技术创新应用

CECBC

区块链

黄际洲获CCF优秀博士学位论文奖 搜索推荐技术创新成果显著

爱极客侠

SpringCloud 从入门到精通17---Sentinel降级/热点规则

Felix

全面提升企业的主动防御能力,UCloud全新架构云安全中心正式公测!

UCloud技术

网络安全 恶意解析 云安全 安全漏洞

冰河去腾讯了?

冰河

程序员 程序人生 冰河 冰河技术

100+标杆案例和1个减法:华为“懂行100”给2021带来了什么?

脑极体

分析 BAT 互联网巨头在大数据方向布局及大数据未来发展趋势

五分钟学大数据

大数据 2月春节不断更

非科班Java面试快手三面,如果不是疫情,offer已经到手了

Java架构之路

Java 程序员 架构 面试 编程语言

拆散的乐高怎么装起来

李小腾

Seata1.4.0源码编译

Fox

seata

深入理解nodejs的HTTP处理流程

程序那些事

node.js HTTP 异步编程 程序那些事

云原生生态周报 Vol. 14:K8s CVE 修复指南_云计算_进超_InfoQ精选文章