「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。 文末有活动,欢迎参与。

Docker 19.03.3 正式发布

在本周 Docker 发布了 19.03.3 版本,这个版本的变更内容 很重要,我会将主要内容都列出来。(上周周报介绍了 19.03.3-rc1 的一些情况)

已知问题

DOCKER-USER iptables 链丢失;如果你并不需要在 DOCKER-USER 链上定义规则的话,那你也并不会受此问题的影响。

临时解决办法:手动添加丢失的链,操作如下:

iptables -N DOCKER-USER
iptables -I FORWARD -j DOCKER-USER
iptables -A DOCKER-USER -j RETURN

这个问题会在 19.03.4 中进行修复, 很快会进行发布; 实际会把 libnetwork 中有问题的那段代码先去掉。 如果已经升级了此版本的用户,受到此问题影响的话,可以使用上述方式进行临时解决。

安全问题

  • 将 runc 更新到了 v1.0.0-rc8-92-g84373aaa 这其中包含了 runc 中对 CVE-2017-18367 的修复,该漏洞的根本原因在于 libseccomp-golang一个错误的逻辑运算 ,有兴趣的朋友可以点开链接看看实际的修复代码,并且也可以发现该代码其实在 2017 年 4 月就已经合并进 libseccomp-golang 的主干中了,但实际上在今年 6 月在 runc 中才真正修复。

这个问题其实反映出来的是当我们在维护项目时,对自己所用的各种依赖需要有所了解和把握,整体来讲,尽可能避免依赖项过旧是个好事儿;并且安全问题非常值得关注。

常规更新

  • 修改了仍使用 schema1 进行镜像 push/pull 操作时的通知逻辑,早在今年 6 月份我推送的周报中就已经提到过建议升级至 schema2 来获得长久的支持,以及更好的兼容性。具体的升级版本之一就是使用最新版的 Docker, 将镜像 pull 后再重新 push 即可(适用于大多数情况);

  • 根据 RFC4343 Docker 修改了内部 DNS 的逻辑,使其符合了 RFC4343 的规范, DNS 开始不再区分大小写了 。如果在实际使用中有依赖大小写解析的情况,请及时修改逻辑。

对此版本感兴趣的朋友可以参考 ReleaseNote

Helm v3.0.0-beta.4 发布

Helm 3 已经进入发布了 beta4 的版本,现在计划下个版本是 beta5,仍然将继续修复 bug 和提升稳定性。

这里也有一个安全问题: 修复了 CVE-2019-1000008 这个问题一开始是为 Helm 2 而报告的,但实际上在 Helm 3 中也存在,所以此次 beta4 中包含了修复代码, 建议升级。

这次的 break change 就 4 个,对于处于 beta 期的 Helm 3 也还可以理解。

以下是一些值得注意的点:

  • --recreate-pods 参数被废弃;
  • app version 字段被添加到了 helm listhelm history 中;

对此版本感兴趣的朋友可以参考 ReleaseNote

上游进展

  • K8S 文档工作组将会对 K8S 文档中引用的第三方内容进行清理和组织,以避免文档中出现过多的 “使用 xx 工具部署 Kubernetes” 之类的内容。(比如“使用 Kind 来部署 Kubernetes 本地集群” 就是允许存在的内容);

  • 同样的为了修复安全漏洞 CVE-2019-11253 ,现在限制 YAML/JSON 的解码大小为 3M , #83261

活动

本周我在 GitChat 上的新专栏 Docker 核心知识必知必会 https://gitbook.cn/gitchat/column/5d70cfdc4dc213091bfca46f 正式上线了! (我也来宣传一波~ 感谢大家支持~

这个专栏涵盖了 Docker 的核心知识,但是又不仅仅是 Docker;我认为想要真正掌握 Docker 容器知识,必须通过系统性的学习,很多东西其实依赖于内核实现的功能,如果不能很好的理解这些基础功能,那以后在生产环境中使用 Docker 容器技术就会比较吃力了。

现在多数公司正在往容器化和 Kubernetes 的环境上迁移,如果能很好的掌握 Docker 容器技术,那无论是在做容器化,还是在使用或者定位 k8s 的问题时,都会游刃有余。

现在我将这个专栏推荐给你,万丈高楼平地起,希望能有所帮助。(扫描下方二维码或者使用链接 https://gitbook.cn/gitchat/column/5d70cfdc4dc213091bfca46f 皆可访问)

Docker 核心知识必知必会

另外,为了感谢大家的关注和支持,即日起至 10 月 19 日晚 21 点整,在本文下方留言,得到点赞最多的朋友,我会送出一个免费的兑换码,用于兑换此专栏。欢迎参与。

(我会在下周周报时,公布结果。所有渠道共同参与此活动。)


可以通过下面二维码订阅我的文章公众号【MoeLove】,在公众号后台回复 k8s 可加入技术圈交流。

TheMoeLove