K8S 生态周报| CoreDNS 发布 v1.7.0

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。

CoreDNS v1.7.0 发布

CoreDNS 本周发布了 v1.7.0 版本， 这是一个向后不兼容的版本。主要包含了以下几个方面：

#3776更好的 metrics 名称，其修改了大量的 metrics 名称，Dashborad 之类的都需要修改了。例如： coredns_request_block_count_total -> coredns_dns_blocked_requests_total
#3794 federation 插件已经被移除（v1 Kubernetes federation）;
从 kubernetes 插件中删除了一些代码，所以它不会作为外部插件构建；
#3534 新的 dns64 插件，由外部转为内置插件，该插件提供了 DNS64 IPv6 地址转换机制；
#3737 plugin/kubernetes: 移除了已经过期的 resyncperiod 和 upstream 选项；

以上便是此版本中值得注意的变更，更多详细内容请参看其 ReleaseNote

这是一个安全更新版本，主要是为了修正一个漏洞，该漏洞影响了 v3.2.4 之前所有 Helm v3 版本。漏洞号为 CVE-2020-4053

此漏洞的具体影响范围是，当通过 HTTP 的方式从远程来安装一个 Plugin 的时候，可能会发生文件目录的遍历攻击。攻击者可能会在恶意插件中包含相对路径，以此来将攻击文件复制到预期的文件目录之外。

这是一种很常见的攻击方法，在之前的「K8S 生态周报」文章中，我也介绍过类似的利用这种文件目录遍历的漏洞。

修正方式也很简单，对于文件的解压操作，判断是否包含相对路径，如果有，则抛出异常（这里主要是为了警示用户，其安装的内容中可能有恶意行为）。

对此版本感兴趣的朋友，可以直接下载使用。

本周 Istio 发布了 v1.6.3 ，此版本的主要变更如下：

#24264 修复了 istio 崩溃信息为 proto.Message is *client.QuotaSpecBinding, not *client.QuotaSpecBinding 的问题；
#24365) 修正了 SidecarInjectionSpec CRD，从 .Values.global 阅读 imagePullSecret；
#24469) 当 gateway.runAsRoot 开启时，从 PodSecurityContext 移除了无效的配置；

更多关于此版本的信息，请参考其 ReleaseNote 。

Rook 已经提交了从 CNCF 托管项目中毕业的申请，可能还需要一段时间才能毕业吧。

我们来看看本次 Rook v1.3.6 版本的更新内容：

#5603 将 CSI 驱动升级到了 v2.1.2；
#5309 修复了 template size 增加时，OSD PVC size 不增加的问题；
#5595 修改了 svc port 的名称，需求主要来自想要将 rook 与 Istio 集成，其中 kiali 要求 port 名称必须有个协议前缀，具体信息请参考 https://kiali.io/documentation/validations/#_kia0601_port_name_must_follow_protocol_suffix_form ；
#5606 修正了小集群（比如 OSD 为 3）当 OSD 更新时，获取的 OSD 数量不准确的情况；

更多关于此版本的详细信息，请参考其 ReleaseNote

欢迎订阅我的文章公众号【MoeLove】

TheMoeLove