共计 1109 个字符,预计需要花费 3 分钟才能阅读完成。
「K8S 生态周报」内容次要蕴含我所接触到的 K8S 生态相干的每周值得举荐的一些信息。欢送订阅知乎专栏「k8s 生态」。
Docker CE v19.03.12 公布
在 Docker v19.03.11 公布时,我在「K8S 生态周报 | 简直影响所有 k8s 集群的破绽」一文中曾介绍过,该版本次要是为了修复一个通过应用 IPv6 RA 音讯进行地址坑骗的安全漏洞 CVE-2020-13401。
解决办法也很简略,间接将 /proc/sys/net/ipv6/conf/*/accept_ra 设置成 0,这样便可确保不接管 RA 音讯,从而防止蒙受攻打。
然而,在 v19.03.11 的修复中,当无奈禁用 RA 音讯时,会间接报错,导致 docker daemon 无奈启动(比方在容器内的只读文件系统上)。所以此次 v19.03.12 的一个最次要修复,就是无奈禁用 RA 音讯时,只是会记录一条日志,而不是间接报错。
- return fmt.Errorf("libnetwork: Unable to disable IPv6 router advertisement: %v", err)
+ logrus.WithError(err).Warn("unable to disable IPv6 router advertisement")对此版本感兴趣的小伙伴,能够间接更新。
containerd v1.3.5 公布
此次 v1.3.5 版本,有可能是 v1.3.x 系列的最初一个版本了。此版本中次要是把主线中的一些修改给移植过去。比方
- #4276 修改了镜像用量的计算错误;
- #4278 当遇到一些谬误时候,清理掉调配的资源;
-
#4327 shim v2 runc 传递了
options.Root;
此版本也将很快集成进 Docker 中。
更多信息请参考其 ReleaseNote
Istio v1.4.10 公布
Istio v1.4.10 中次要蕴含以下值得注意的内容:
- ISTIO-SECURITY-2020-006: 这个破绽源自 CVE-2020-11080 nghttp2 在 v1.41.0 版本之前,存在 payload 过大导致拒绝服务的破绽。当攻击者继续结构大型申请时,可能导致 CPU 飙到 100%。这种申请可能会被发送到 Ingress Gateway 或者 Sidecar,进而导致拒绝服务。
-
#23770 修复了 CNI 导致 POD 提早 30~40s 启动的 bug,次要是因为
istio-iptables.sh中 IPv6 相干的查看逻辑。
上游停顿
-
#88649 删除掉了自 v1.14 起,被废除的
kubectl get的--export参数; -
#89778 Ingress 曾经 GA,以后应用的 API 版本为
networking.k8s.io/v1;
欢送订阅我的文章公众号【MoeLove】
正文完