業界要聞

Mesosphere 公司正式更名為 D2IQ， 關注云原生。

Mesosophere 公司日前發布官方聲明正式更名為：D2iQ（Day-Two-I-Q），稱關注點轉向 Kubernetes 與云原生領域， 并會繼續將“Mesosphere”作為產品技術和品牌的一部分。

Kubernetes 兩個安全漏洞修復指南。

2.1 Kubernetes API server 曝出安全漏洞（CVE-2019-11247），該漏洞使得指定了命名空間權限的請求可以訪問到集群級別權限的自定義資源（CR），漏洞產生的主要原因在于 CRD 的服務 API 沒有檢查請求的命名空間范圍（namespaceScope）。

• 漏洞涉及的版本包括： Kubernetes 1.7.x-1.12.x; Kubernetes 1.13.0-1.13.8; Kubernetes 1.14.0-1.14.4; Kubernetes 1.15.0-1.15.1；
• 漏洞的具體影響：對于只被授權某個具體 namespace 自定義資源的用戶，他將可以訪問集群級別的自定義資源；
• 處理漏洞的方案：根治的方案是升級到修復了該漏洞的版本，如 1.14.5，1.15.2 等，除了升級 Kubernetes 版本，還可以把一些在 namespace 里授權了集群級別資源的規則先清理掉，比如一個 namespace 下的 RBCA roles，不要用這種方式授權 resources:[*] , apiGroups:[*] ，也不要授權集群級別的CRD。

2.2 kubectl cp 第三次曝出安全漏洞 (CVE-2019-11249)，這次的漏洞是可能有潛在攻擊者構造惡意容器，導致使用者在使用 kubectl cp 命令式本地文件被影響，是一個影響客戶端側的漏洞。

• 漏洞涉及的版本包括: Kubernetes 1.0.x-1.12.x ; Kubernetes 1.13.0-1.13.8 ; Kubernetes 1.14.0-1.14.4 ; Kubernetes 1.15.0-1.15.1；
• 漏洞的具體影響：攻擊者使用 kubectl cp 可能覆蓋指定路徑以外的文件；
• 處理漏洞的臨時方案：升級客戶端工具 kubectl 到最新版本，或者對不可信的 workloads 先不使用 kubectl cp 命令。

思科容器平臺支持微軟 AKS、google 開始引導客戶遷移到 anthos、CloudBees 正式推出 Jenkins X 發行版。

相關資料 思科容器平臺支持微軟 AKS、google 開始引導客戶遷移到 anthos、CloudBees 正式推出 Jenkins X 發行版

CNCF 宣布 Kubernetes 峰會首爾和悉尼：向全世界傳播 Kubernetes 和云計算。

CNCF 宣布將于今年 12 月 9 日至 10 日在韓國首爾、 12 月 12 日至 13 日在澳大利亞悉尼，首次舉辦Kubernetes峰會，以便更好的向全世界傳播 Kubernetes 和云計算。現在在每年三場 KubeCon + CloudNativeCon 的基礎上，開發者、用戶、廠商有更多的機會可以在一起面對面的交流合作、學習進步。兩個城市在一個星期連續舉辦的兩個活動，有助于國際演講者和贊助商的影響力提高。 https://mp.weixin.qq.com/s/Xo2BKXfDD36qk3l0VrGEAQ

上游重要進展

Kubernetes 項目

admission webhook 的 admissionreview 類型包從 v1beta 變為 v1 ；

https://github.com/kubernetes/kubernetes/pull/80231

修復 kubectl cp 的 CVE PR：

• Fixed in v1.13.9 by #80871
• Fixed in v1.14.5 by #80870
• Fixed in v1.15.2 by #80869
• Fixed in master by #80436

修復越過 namespace 權限訪問 cluster 級別 CRD 的 CVE PR：

• Fixed in v1.13.9 by #80852
• Fixed in v1.14.5 by #80851
• Fixed in v1.15.2 by #80850
• Fixed in master by #80750

Knative 項目

8 月 6 日，knative 發布了 0.8 版本，主要聚焦在功能完善方面，目前 Knative Eventing/Servering 的功能日漸成熟。Knative Serving 0.8 主要增加了以下功能：

• Target Burst Capacity (TBC) 支持，用于避免突發流量在 queue-proxy 里排隊；
• 減少 Readiness 健康檢查需要的時間；
• Route/Service 的 ready 狀態能代表可以訪問了。

Knative Eventing 0.8 主要增加了以下功能：

• 新增 Choice CRD 資源，用來定義 function 執行流程。通過 Choice， 可以根據條件來選擇 function 進行事件處理，具備 func 的編排能力。

更詳細的解讀請閱讀文章 “Knative Serving 0.8 變更” 和 “全面解讀 Knative Eventing 0.8 版本新特性”。

開源項目推薦

flux 基于 gitops 的持續發布（CD）項目

以 Kubernetes 為底座，主打無狀態應用的發布，提供豐富的發布策略。

[gubernator] (https://github.com/mailgun/gubernator)

高性能分布式限速微服務項目，類似的這種項目之前都是加一個 redis 之類的緩存實現的，而該項目主打沒有外部軟件依賴。 https://www.infoq.cn/article/jgZzDBD4IQ*6wHHrpZhv

[TiDB operator 1.0 GA]（ https://github.com/pingcap/tidb-operator ）

該項目是數據庫類型的 workload 如何做 operator 的一個參考，文章指出目前已經可以在阿里的 ACK 等云廠商服務上快速體驗。 https://pingcap.com/blog/database-cluster-deployment-and-management-made-easy-with-kubernetes/

本周閱讀推薦

《云原生時代， Kubernetes 多集群架構初探》

該文章從早幾年的多集群技術開始，描述了其架構存在的問題，講到如今云原生時代多集群的架構，以及如何面向多集群做應用管理，多集群技術演變史娓娓道來。

《復雜性會成為 Kubernetes 的“致命傷”嗎？》 (https://www.infoq.cn/article/ZK6i*P9ye0NCGHSZQpNO)

近日，外媒 InfoWorld 發表了一篇題為“ Will complexity kill Kubernetes? （復雜性會殺死 Kubernetes 嗎？）”的文章，指出了 Kubernetes 本身過于復雜的事實，并分析了這種復雜性與 Hadoop 是否雷同，以及 Kubernetes 最終會不會重蹈 Hadoop 的覆轍。針對上述問題，InfoQ 第一時間對阿里巴巴高級技術專家張磊進行了獨家采訪，共同探討 Kubernetes 背后的復雜性問題。

《Helm deployments》 (https://kubedex.com/helm-deployments/)

關于應用部署，文章對各種利用 helm charts 或者類似工具進行了對比，描述了 helm 2 存在的問題，以及其他一系列工具圍繞云原生應用管理做了哪些工作，很有借鑒意義。

《CNCF 開源了 k8s 核心組件的[安全審計報告] 》(https://thenewstack.io/cncf-open-sources-security-audit-of-core-kubernetes-components)

方便用戶查看 k8s 核心組件的安全審計情況，重要的漏洞基本都以 CVE 的形式呈現，該審計報告主要在各種用戶不合理的使用姿勢上給出安全警示。

《Serverless 系列一：基本概念入門》

探討 Serverless 定義、場景及對云原生時代的應用架構的思考。

《運行在 Istio 之上的 Apache Kafka——基準測試 》—— by Balint Molnar，馬若飛 譯

本文是一篇 Kafka 的基準測試分析報告，作者詳細介紹了測試的環境和配置選擇，并在單集群、多集群、多云、混合云等各種場景下進行了 A/B 測試和性能分析，評估了 Istio 的引入對性能的影響情況。

《構建云原生微服務網關-篇一：Ambassador 》—— by 陸培爾

在微服務架構中，API 網關是一個十分重要的存在。一方面它為外部的流量訪問提供了統一的入口，使得可以方便的進行防火墻的策略實施；另一方面，可以在網關處進行流量控制、認證、授權、灰度發布、日志收集、性能分析等各種高級功能，使得業務功能與非業務功能有效解耦，給予了系統架構更大的靈活性。本系列文章嘗試分析目前主流的云原生微服務網關，并比較它們各自的優劣。

《Istio 庖丁解牛六：多集群網格應用場景》—— by 鐘華

利用 Istio 多集群能力實現「異地容災」和「地域感知負載均衡」。

---

了解 ACK 容器服務，請查看：https://www.aliyun.com/product/kubernetes

本周報由阿里巴巴容器平臺聯合螞蟻金服共同發布

本文作者：天元、元毅、心水 、張磊、進超
責任編輯：木環

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的云原生生态周报 Vol. 14 | K8s CVE 修复指南的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。