「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。
runc v1.0.0-rc91 发布
如果不出意外的话,这将会是 runc v1.0 正式发布前的倒数第二个 rc 版。 本次有很多值得关注的变更。
首先是期待已久的 hooks 的变更,这是少数与规范有关的变更,当然它也是一直没有发布 v1.0 的原因之一。现有的使用 hook 的用户不受影响,比如说 NVIDIA Docker 用户,但是 runc 提供了其他的 hook ,比如
createRuntime等。其次是对 cgroup v2 的支持(我已经多次介绍过);
修复了一个小的安全漏洞 很早之前 runc 中默认将所有的设备都设置成了允许,这意味着需要用户自己去设置要去拒绝哪个设备访问。在 runc 的众多用户,均已经很早就修复了此问题。所以此问题在 runc 中被忽略掉了,直到现在才修复。
更多关于此版本的信息,请参考其 ReleaseNote
Envoy v1.14.3 发布
此次 v1.14.3 版本的主题是安全修复。本次修复了如下安全漏洞:
- CVE-2020-12603
- CVE-2020-12604
- CVE-2020-12605
- CVE-2020-8663
- CVE-2020-8663
这些安全漏洞基本都是通过发送特定数据包,引起服务端大量消耗资源。 同时,此次的这些安全修复,也都影响到了 Istio ,所以 Istio 在本周也发布了 v1.6.4 版本以包含这些漏洞修复。
更多关于此版本信息,请参考其 ReleaseNote
Rook v1.3.7 发布
这仍然是一个 bugfix 版本,其中有几个值得注意的修复:
- #5504 修复了 OSD 创建过程中磁盘分区标签在
devicePathFilter过滤条件中失效的问题; - #5698 在 monitor 故障转移的时候,删除与之关联的 PVC,这样可以避免其故障时, PVC 仍处于绑定的状态;
- #5720 之前卡住的 monitor 只有在健康检查的时候才会被强制删除,现在在每次 reconcile 时,也会重启 monitor 了;
以上便是本次版本中值得关注的信息,更多关于此版本的变更,请参考其 RleaseNote
上游进展
- #92407 对 kubelet 暴露出的两个 metric 做了重命名,分别是将
kubelet_running_container_count->kubelet_running_containers和kubelet_running_pod_count->kubelet_running_pods如果在升级后,发现自己的 Dashboard 或者报警不好用了,请即使检查 metric 是否匹配; - #91980
kubeadm upgrade允许用户通过--config手动提供集群组件的配置。旧有的--config行为也将继续支持。相关的 KEP 请查看 https://github.com/kubernetes/enhancements/blob/master/keps/sig-cluster-lifecycle/kubeadm/20190925-component-configs.md (对于想要手动管理,或者规避一些版本问题的用户,非常有用);
欢迎订阅我的文章公众号【MoeLove】
