「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」

CoreDNS v1.7.0 发布

CoreDNS 本周发布了 v1.7.0 版本, 这是一个向后不兼容的版本。 主要包含了以下几个方面:

  • #3776更好的 metrics 名称,其修改了大量的 metrics 名称,Dashborad 之类的都需要修改了。 例如: coredns_request_block_count_total -> coredns_dns_blocked_requests_total
  • #3794 federation 插件已经被移除 (v1 Kubernetes federation);
  • kubernetes 插件中删除了一些代码, 所以它不会作为外部插件构建;
  • #3534 新的 dns64 插件,由外部转为内置插件,该插件提供了 DNS64 IPv6 地址转换机制;
  • #3737 plugin/kubernetes: 移除了已经过期的 resyncperiodupstream 选项;

以上便是此版本中值得注意的变更,更多详细内容请参看其 ReleaseNote

Helm v3.2.4 发布

这是一个安全更新版本,主要是为了修正一个漏洞,该漏洞影响了 v3.2.4 之前所有 Helm v3 版本。漏洞号为 CVE-2020-4053

此漏洞的具体影响范围是,当通过 HTTP 的方式从远程来安装一个 Plugin 的时候,可能会发生文件目录的遍历攻击。攻击者可能会在恶意插件中包含相对路径,以此来将攻击文件复制到预期的文件目录之外。

这是一种很常见的攻击方法,在之前的「K8S 生态周报」文章中,我也介绍过类似的利用这种文件目录遍历的漏洞。

修正方式也很简单,对于文件的解压操作,判断是否包含相对路径,如果有,则抛出异常(这里主要是为了警示用户,其安装的内容中可能有恶意行为)。

对此版本感兴趣的朋友,可以直接下载 使用。

Istio v1.6.3 发布

本周 Istio 发布了 v1.6.3 ,此版本的主要变更如下:

  • #24264 修复了 istio 崩溃信息为 proto.Message is *client.QuotaSpecBinding, not *client.QuotaSpecBinding 的问题;
  • #24365) 修正了 SidecarInjectionSpec CRD, 从 .Values.global 阅读 imagePullSecret
  • #24469)gateway.runAsRoot 开启时,从 PodSecurityContext 移除了无效的配置;

更多关于此版本的信息,请参考其 ReleaseNote

Rook v1.3.6 发布

Rook 已经提交了从 CNCF 托管项目中毕业的申请,可能还需要一段时间才能毕业吧。

我们来看看本次 Rook v1.3.6 版本的更新内容:

更多关于此版本的详细信息,请参考其 ReleaseNote

上游进展

  • #90569 kubectl run 增加了一个 --privileged 的参数;
  • #91952kubeadm join 增加了一个重试的循环, 默认写超时是 40 s, 读超时是 15s ;

欢迎订阅我的文章公众号【MoeLove】

TheMoeLove