乐趣区

关于docker:K8S-生态周报-Docker-v190312-发布

「K8S 生态周报」内容次要蕴含我所接触到的 K8S 生态相干的每周值得举荐的一些信息。欢送订阅知乎专栏「k8s 生态」。

Docker CE v19.03.12 公布

在 Docker v19.03.11 公布时,我在「K8S 生态周报 | 简直影响所有 k8s 集群的破绽」一文中曾介绍过,该版本次要是为了修复一个通过应用 IPv6 RA 音讯进行地址坑骗的安全漏洞 CVE-2020-13401。

解决办法也很简略,间接将 /proc/sys/net/ipv6/conf/*/accept_ra 设置成 0,这样便可确保不接管 RA 音讯,从而防止蒙受攻打。

然而,在 v19.03.11 的修复中,当无奈禁用 RA 音讯时,会间接报错,导致 docker daemon 无奈启动(比方在容器内的只读文件系统上)。所以此次 v19.03.12 的一个最次要修复,就是无奈禁用 RA 音讯时,只是会记录一条日志,而不是间接报错。

-    return fmt.Errorf("libnetwork: Unable to disable IPv6 router advertisement: %v", err)
+    logrus.WithError(err).Warn("unable to disable IPv6 router advertisement")

对此版本感兴趣的小伙伴,能够间接更新。

containerd v1.3.5 公布

此次 v1.3.5 版本,有可能是 v1.3.x 系列的最初一个版本了。此版本中次要是把主线中的一些修改给移植过去。比方

  • #4276 修改了镜像用量的计算错误;
  • #4278 当遇到一些谬误时候,清理掉调配的资源;
  • #4327 shim v2 runc 传递了 options.Root

此版本也将很快集成进 Docker 中。

更多信息请参考其 ReleaseNote

Istio v1.4.10 公布

Istio v1.4.10 中次要蕴含以下值得注意的内容:

  • ISTIO-SECURITY-2020-006: 这个破绽源自 CVE-2020-11080 nghttp2 在 v1.41.0 版本之前,存在 payload 过大导致拒绝服务的破绽。当攻击者继续结构大型申请时,可能导致 CPU 飙到 100%。这种申请可能会被发送到 Ingress Gateway 或者 Sidecar,进而导致拒绝服务。
  • #23770 修复了 CNI 导致 POD 提早 30~40s 启动的 bug,次要是因为 istio-iptables.sh 中 IPv6 相干的查看逻辑。

上游停顿

  • #88649 删除掉了自 v1.14 起,被废除的 kubectl get--export 参数;
  • #89778 Ingress 曾经 GA,以后应用的 API 版本为 networking.k8s.io/v1;

欢送订阅我的文章公众号【MoeLove】

退出移动版