「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」

runc v1.0.0-rc91 发布

如果不出意外的话,这将会是 runc v1.0 正式发布前的倒数第二个 rc 版。 本次有很多值得关注的变更。

  • 首先是期待已久的 hooks 的变更,这是少数与规范有关的变更,当然它也是一直没有发布 v1.0 的原因之一。现有的使用 hook 的用户不受影响,比如说 NVIDIA Docker 用户,但是 runc 提供了其他的 hook ,比如 createRuntime 等。

  • 其次是对 cgroup v2 的支持(我已经多次介绍过);

  • 修复了一个小的安全漏洞 很早之前 runc 中默认将所有的设备都设置成了允许,这意味着需要用户自己去设置要去拒绝哪个设备访问。在 runc 的众多用户,均已经很早就修复了此问题。所以此问题在 runc 中被忽略掉了,直到现在才修复。

更多关于此版本的信息,请参考其 ReleaseNote

Envoy v1.14.3 发布

此次 v1.14.3 版本的主题是安全修复。本次修复了如下安全漏洞:

  • CVE-2020-12603
  • CVE-2020-12604
  • CVE-2020-12605
  • CVE-2020-8663
  • CVE-2020-8663

这些安全漏洞基本都是通过发送特定数据包,引起服务端大量消耗资源。 同时,此次的这些安全修复,也都影响到了 Istio ,所以 Istio 在本周也发布了 v1.6.4 版本以包含这些漏洞修复。

更多关于此版本信息,请参考其 ReleaseNote

Rook v1.3.7 发布

这仍然是一个 bugfix 版本,其中有几个值得注意的修复:

  • #5504 修复了 OSD 创建过程中磁盘分区标签在 devicePathFilter 过滤条件中失效的问题;
  • #5698 在 monitor 故障转移的时候,删除与之关联的 PVC,这样可以避免其故障时, PVC 仍处于绑定的状态;
  • #5720 之前卡住的 monitor 只有在健康检查的时候才会被强制删除,现在在每次 reconcile 时,也会重启 monitor 了;

以上便是本次版本中值得关注的信息,更多关于此版本的变更,请参考其 RleaseNote

上游进展

  • #92407 对 kubelet 暴露出的两个 metric 做了重命名,分别是将 kubelet_running_container_count -> kubelet_running_containerskubelet_running_pod_count -> kubelet_running_pods 如果在升级后,发现自己的 Dashboard 或者报警不好用了,请即使检查 metric 是否匹配
  • #91980 kubeadm upgrade 允许用户通过 --config 手动提供集群组件的配置。旧有的 --config 行为也将继续支持。相关的 KEP 请查看 https://github.com/kubernetes/enhancements/blob/master/keps/sig-cluster-lifecycle/kubeadm/20190925-component-configs.md (对于想要手动管理,或者规避一些版本问题的用户,非常有用);

欢迎订阅我的文章公众号【MoeLove】

TheMoeLove