云原生生态:Mesosphere 转型,更名为 Day-Two-I-Q
业界要闻
1.Mesosphere 公司正式更名为 D2IQ, 关注云原生。
Mesosophere 公司日前发布官方声明正式更名为:D2iQ(Day-Two-I-Q),称关注点转向 Kubernetes 与云原生领域, 并会继续将“Mesosphere”作为产品技术和品牌的一部分。
2.Kubernetes 两个安全漏洞修复指南。
2.1 Kubernetes API server 曝出安全漏洞(CVE-2019-11247),该漏洞使得指定了命名空间权限的请求可以访问到集群级别权限的自定义资源(CR),漏洞产生的主要原因在于 CRD 的服务 API 没有检查请求的命名空间范围(namespaceScope)。
- 漏洞涉及的版本包括: Kubernetes 1.7.x-1.12.x; Kubernetes 1.13.0-1.13.8; Kubernetes 1.14.0-1.14.4; Kubernetes 1.15.0-1.15.1;
- 漏洞的具体影响:对于只被授权某个具体 namespace 自定义资源的用户,他将可以访问集群级别的自定义资源;
- 处理漏洞的方案:根治的方案是升级到修复了该漏洞的版本,如
1.14.5
,1.15.2
等,除了升级 Kubernetes 版本,还可以把一些在 namespace 里授权了集群级别资源的规则先清理掉,比如一个 namespace 下的 RBCA roles,不要用这种方式授权resources:[*]
,apiGroups:[*]
,也不要授权集群级别的CRD。
2.2 kubectl cp 第三次曝出安全漏洞 (CVE-2019-11249),这次的漏洞是可能有潜在攻击者构造恶意容器,导致使用者在使用 kubectl cp 命令式本地文件被影响,是一个影响客户端侧的漏洞。
- 漏洞涉及的版本包括: Kubernetes 1.0.x-1.12.x ; Kubernetes 1.13.0-1.13.8 ; Kubernetes 1.14.0-1.14.4 ; Kubernetes 1.15.0-1.15.1;
- 漏洞的具体影响:攻击者使用 kubectl cp 可能覆盖指定路径以外的文件;
- 处理漏洞的临时方案:升级客户端工具 kubectl 到最新版本,或者对不可信的 workloads 先不使用 kubectl cp 命令。
3.思科容器平台支持微软 AKS、google 开始引导客户迁移到 anthos、CloudBees 正式推出 Jenkins X 发行版。
相关资料 思科容器平台支持微软 AKS、google 开始引导客户迁移到 anthos、CloudBees 正式推出 Jenkins X 发行版
4.CNCF 宣布 Kubernetes 峰会首尔和悉尼:向全世界传播 Kubernetes 和云计算。
CNCF 宣布将于今年 12 月 9 日至 10 日在韩国首尔、 12 月 12 日至 13 日在澳大利亚悉尼,首次举办Kubernetes峰会,以便更好的向全世界传播 Kubernetes 和云计算。现在在每年三场 KubeCon + CloudNativeCon 的基础上,开发者、用户、厂商有更多的机会可以在一起面对面的交流合作、学习进步。两个城市在一个星期连续举办的两个活动,有助于国际演讲者和赞助商的影响力提高。 https://mp.weixin.qq.com/s/Xo2BKXfDD36qk3l0VrGEAQ
上游重要进展
Kubernetes 项目
1.admission webhook 的 admissionreview 类型包从 v1beta 变为 v1 ;
https://github.com/kubernetes/kubernetes/pull/80231
2.修复 kubectl cp 的 CVE PR:
- Fixed in v1.13.9 by #80871
- Fixed in v1.14.5 by #80870
- Fixed in v1.15.2 by #80869
- Fixed in master by #80436
3.修复越过 namespace 权限访问 cluster 级别 CRD 的 CVE PR:
- Fixed in v1.13.9 by #80852
- Fixed in v1.14.5 by #80851
- Fixed in v1.15.2 by #80850
- Fixed in master by #80750
Knative 项目
8 月 6 日,knative 发布了 0.8 版本,主要聚焦在功能完善方面,目前 Knative Eventing/Servering 的功能日渐成熟。Knative Serving 0.8 主要增加了以下功能:
- Target Burst Capacity (TBC) 支持,用于避免突发流量在 queue-proxy 里排队;
- 减少 Readiness 健康检查需要的时间;
- Route/Service 的 ready 状态能代表可以访问了。
Knative Eventing 0.8 主要增加了以下功能:
- 新增 Choice CRD 资源,用来定义 function 执行流程。通过 Choice, 可以根据条件来选择 function 进行事件处理,具备 func 的编排能力。
更详细的解读请阅读文章 "Knative Serving 0.8 变更" 和 "全面解读 Knative Eventing 0.8 版本新特性"。
开源项目推荐
1.flux 基于 gitops 的持续发布(CD)项目
以 Kubernetes 为底座,主打无状态应用的发布,提供丰富的发布策略。
2.[gubernator] (https://github.com/mailgun/gubernator)
高性能分布式限速微服务项目,类似的这种项目之前都是加一个 redis 之类的缓存实现的,而该项目主打没有外部软件依赖。 https://www.infoq.cn/article/jgZzDBD4IQ*6wHHrpZhv
3.[TiDB operator 1.0 GA]( https://github.com/pingcap/tidb-operator )
该项目是数据库类型的 workload 如何做 operator 的一个参考,文章指出目前已经可以在阿里的 ACK 等云厂商服务上快速体验。 https://pingcap.com/blog/database-cluster-deployment-and-management-made-easy-with-kubernetes/
本周阅读推荐
该文章从早几年的多集群技术开始,描述了其架构存在的问题,讲到如今云原生时代多集群的架构,以及如何面向多集群做应用管理,多集群技术演变史娓娓道来。
2.《复杂性会成为 Kubernetes 的“致命伤”吗?》 (https://www.infoq.cn/article/ZK6i*P9ye0NCGHSZQpNO)
近日,外媒 InfoWorld 发表了一篇题为“ Will complexity kill Kubernetes? (复杂性会杀死 Kubernetes 吗?)”的文章,指出了 Kubernetes 本身过于复杂的事实,并分析了这种复杂性与 Hadoop 是否雷同,以及 Kubernetes 最终会不会重蹈 Hadoop 的覆辙。针对上述问题,InfoQ 第一时间对阿里巴巴高级技术专家张磊进行了独家采访,共同探讨 Kubernetes 背后的复杂性问题。
3.《Helm deployments》 (https://kubedex.com/helm-deployments/)
关于应用部署,文章对各种利用 helm charts 或者类似工具进行了对比,描述了 helm 2 存在的问题,以及其他一系列工具围绕云原生应用管理做了哪些工作,很有借鉴意义。
4.《CNCF 开源了 k8s 核心组件的[安全审计报告] 》(https://thenewstack.io/cncf-open-sources-security-audit-of-core-kubernetes-components)
方便用户查看 k8s 核心组件的安全审计情况,重要的漏洞基本都以 CVE 的形式呈现,该审计报告主要在各种用户不合理的使用姿势上给出安全警示。
探讨 Serverless 定义、场景及对云原生时代的应用架构的思考。
6.《运行在 Istio 之上的 Apache Kafka——基准测试 》—— by Balint Molnar,马若飞 译
本文是一篇 Kafka 的基准测试分析报告,作者详细介绍了测试的环境和配置选择,并在单集群、多集群、多云、混合云等各种场景下进行了 A/B 测试和性能分析,评估了 Istio 的引入对性能的影响情况。
7.《构建云原生微服务网关-篇一:Ambassador 》—— by 陆培尔
在微服务架构中,API 网关是一个十分重要的存在。一方面它为外部的流量访问提供了统一的入口,使得可以方便的进行防火墙的策略实施;另一方面,可以在网关处进行流量控制、认证、授权、灰度发布、日志收集、性能分析等各种高级功能,使得业务功能与非业务功能有效解耦,给予了系统架构更大的灵活性。本系列文章尝试分析目前主流的云原生微服务网关,并比较它们各自的优劣。
8.《Istio 庖丁解牛六:多集群网格应用场景》—— by 钟华
利用 Istio 多集群能力实现「异地容灾」和「地域感知负载均衡」。
了解 ACK 容器服务,请查看:https://www.aliyun.com/product/kubernetes
本周报由阿里巴巴容器平台联合蚂蚁金服共同发布
本文作者:天元、元毅、心水 、张磊、进超
责任编辑:木环
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
每日一博 | Apache ShardingSphere 数据脱敏全解决方案详解
Apache ShardingSphere数据脱敏全解决方案详解 作者简介 潘娟,京东数科高级DBA,主要负责京东数科数据库中间件开发、数据库运维自动化平台开发、生产数据库运维工作。多次参与京东6.18、11.11等大促活动的护航工作。曾负责京东数科数据库自动化平台设计与开发项目,现专注于Apache ShardingSphere分布式数据库中间件开发。乐于在数据库、自动化、分布式、中间件等相关领域进行学习和探索。 一、背景 安全控制一直是治理的重要环节,数据脱敏属于安全控制的范畴。对互联网公司、传统行业来说,数据安全一直是极为重视和敏感的话题。数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。涉及客户安全数据或者一些商业性敏感数据,如身份证号、手机号、卡号、客户号等个人信息按照相关部门规定,都需要进行数据脱敏。 在真实业务场景中,相关业务开发团队则往往需要针对公司安全部门需求,自行实行并维护一套加解密系统,而当脱敏场景发生改变时,自行维护的脱敏系统往往又面临着重构或修改风险。此外,对于已经上线的业务,如何在不修改业务逻辑、业务SQL的情况下,透明化、安...
- 下一篇
微软为 Windows 10 紧急修复两个高危漏洞,建议更新
微软刚刚发布了针对远程桌面服务漏洞的修复程序,其中包括两个严重的远程代码执行(RCE)漏洞, 分别是CVE-2019-1181和CVE-2019-1182。与之前修复的"BlueKeep"漏洞(CVE-2019-0708) 类似,这两个漏洞也会允许恶意软件像蠕虫一样传播,亦即意味着任何利用这些漏洞的恶意软件都可能在易受攻击的计算机之间传播,而无需用户交互。 受影响的 Windows 版本包括:Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2以及所有受支持的 Windows 10 版本,包括服务器版本。 Windows XP,Windows Server 2003 和 Windows Server 2008 则不受影响,远程桌面协议(RDP)本身也不受影响。 微软表示,目前没有证据表明任何第三方已知道这些漏洞,但由于与这些蠕虫漏洞相关的风险较高,因此尽快为受影响的系统打上安全补丁非常重要,已启用自动更新的 Windows 10 用户会受到保...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Mario游戏-低调大师作品
- CentOS6,CentOS7官方镜像安装Oracle11G
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Windows10,CentOS7,CentOS8安装Nodejs环境
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- CentOS8编译安装MySQL8.0.19
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7