Cloud Native Weekly | Kubernetes 1.13发布

云原生一周精选

1——Kubernetes 1.13发布

2——Kubernetes首次出现重大安全漏洞

3——Docker和微软公司推出云原生应用的部署规范

4——谷歌推出beta版本的Cloud SCC

1 Kubernetes 1.13发布

Kubernetes在上周发布1.13版本,该版本继续关注Kubernetes的稳定性和可扩展性。在这个版本中,用于简化集群管理的kubeadm,容器存储接口(CSI)实现GA,CoreDNS替代kube-dns成为默认DNS。

1.1 使用kubeadm简化集群管理

大多数与Kubernetes亲密接触的人在某些时候都会亲自动手使用kubeadm。它是管理集群生命周期的重要工具,从创建到配置再到升级; 现在kubeadm正式成为GA。kubeadm处理现有硬件上的生产集群的引导,并以最佳实践方式配置Kubernetes核心组件,以便为新节点提供安全而简单的连接流程并支持轻松升级。这个GA版本值得注意的是现在已经毕业的高级功能,特别是可插拔性和可配置性。kubeadm旨在成为管理员和自动化的高级别系统的工具箱,这个版本是朝这个方向迈出的重要一步。

1.2 容器存储接口(CSI)

容器存储接口(CSI)在v1.9中作为alpha版本引入,在v1.10成为beta,在v1.13实现GA。通过CSI,Kubernetes存储变得真正可扩展。这为第三方存储提供商提供了编写与Kubernetes互操作而无需触及核心代码的插件的机会。这个规范本身也达到了1.0的状态。

随着CSI变得稳定,开发者可以按照自己的节奏,以out-of-tree的方式开发存储插件。 您可以在CSI文档中找到样例和产品驱动程序的列表。

1.3 CoreDNS成为默认DNS

CoreDNS在v1.11中实现GA。在v1.13中,CoreDNS替换kube-dns成为Kubernetes的默认DNS服务器。CoreDNS是一个通用的、权威的DNS服务器,提供与Kubernetes向后兼容但可扩展的集成。CoreDNS比以前的DNS服务器具有更少的移动部件,因为它是单个可执行文件和单个进程,并通过创建自定义DNS条目来支持灵活的用例。它也用Go编写,使其内存安全。

CoreDNS现在是Kubernetes 1.13+推荐的DNS解决方案。该项目已将常用测试基础架构切换为默认使用CoreDNS,建议用户进行切换。KubeDNS仍将至少支持到下一个版本,但现在是时候开始规划迁移了。许多OSS安装工具已经进行了切换,包括1.11中的Kubeadm。如果您使用托管解决方案,请与您的供应商合作,以了解这将如何影响您。

1.4 其他值得关注的功能更新

对第三方设备监控插件的支持已经作为alpha功能引入。这将从kubelet中删除当前设备相关的知识,以使将来设备相关的用例变为out-of-tree。

Kubelet设备插件注册逐渐稳定。这创建了一个通用的Kubelet插件发现模型,可以由不同类型的节点级插件(例如设备插件,CSI和CNI)用于与Kubelet建立通信通道。

拓扑感知卷调度现在是稳定的。这使调度器能够识别Pod的卷的拓扑约束,例如zone或node。

APIServer DryRun升级为测试版。这将“应用”和声明性对象管理从kubectl移动到apiserver,以便修复当前无法修复的许多现有bug。

Kubectl Diff升级为测试版。这允许用户运行kubectl命令来查看本地声明的对象配置与活动对象的当前状态之间的差异。

使用持久卷的原始块设备(Raw block device)升级为测试版。这使得原始块设备(非网络设备)可通过持久卷源进行消费。

2 Kubernetes 首次出现重大安全漏洞

Kubernetes出现了一个重大的的特权升级漏洞(CVE-2018-1002105)。***者通过构造特殊请求,可以在一个普通权限的链接上提升权限,向被代理的后端服务器发送任意请求。

该问题影响了几乎Kubernetes目前所有的版本,包括:

Kubernetes v1.0.x-1.9.x

Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)

Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)

Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

2.1 什么样的集群可能被***?

集群启用了扩展API server,并且kube-apiserver与扩展API server的网络直接连通;

集群对***者可见,即***者可以访问到kube-apiserver的接口,如果你的集群是部署在安全的私网内,那么不会有影响;

集群开放了 pod exec/attach/portforward 接口,则***者可以利用该漏洞获得所有的kubelet API访问权限。

2.2 具体影响的场景

集群使用了聚合API,只要kube-apiserver与聚合API server的网络直接连通,***者就可以利用这个漏洞向聚合API服务器发送任何API请求;

如果集群开启了匿名用户访问的权限,则匿名用户也利用这个漏洞。不幸的是K8s默认允许匿名访问,即kube-apiserver的启动参数”-- anonymous-auth=true”;

给予用户Pod的exec/attach/portforward的权限,用户也可以利用这个漏洞升级为集群管理员,可以对任意Pod做破坏操作;

Kubernetes已发布更新以解决该漏洞(v1.10.11,v1.11.5和v1.12.3)。

更多信息见社区Issue:

https://github.com/kubernetes/kubernetes/issues/71411

3 Docker和微软推出云原生应用部署规范

根据微软的新闻稿,微软和Docker联合宣布了一个新项目,旨在创建“一个用于打包和运行分布式应用程序的开源,云无关的规范”。

该项目的名称为云原生应用程序包(Cloud Native Application Bundle,CNAB),为开发人员提供了一种标准方法,可以在许多计算环境中打包和运行容器化应用程序,从工作站上的Docker到云实例中的Kubernetes。

CNAB的规范描述了构成应用程序的“包”或资源组。应用程序包还描述了如何安装,升级或删除应用程序,以及如何在不同环境之间移动应用程序,即使目标环境不在线(例如气隙系统)。微软宣称,即使底层技术本身不支持,也可以对应用程序包进行数字签名和验证。应用程序包可以部署在组织内部,也可以通过现有的分发系统(比如Docker Hub和DockerTrustRegistry)进行部署。

在容器环境中创建应用程序包的技术已经存在,例如Kubernetes的Helm,它描述了如何组合多个容器来定义应用程序堆栈。 CNAB针对的是更为全面的用例集,它不仅适用于Kubernetes,还适用于部署和管理容器的其他系统。

CNAB的另一个既定目标是减少创建应用程序定义所需的工具数量。 CNAB定义可以自动生成特定于部署目标的定义文件(例如,Helm图表或Compose模板),以便用户无需掌握多个工具集即可部署到多个目标。

Docker和微软都计划发布CNAB的开发工具。微软宣布将提供Visual Studio代码扩展,以便更容易创建CNAB包,以及实现CNAB规范的开源示例(“Duffle”)。 Docker打算将CNAB支持添加到Docker App工具的新版本中,以便可以在Docker Enterprise的实例中维护CNAB定义的应用程序。

4 谷歌推出beta版本的Cloud SCC

谷歌近日推出了一项新的测试版本的安全服务,作为信息技术团队的集中门户,统一安全漏洞数据,并在任何损害发生之前对潜在威胁采取行动。

该公司表示,Cloud SCC(Cloud Security Command Center)的测试版的发布使其成为第一家为漏洞和威胁提供“组织级可见性”的公有云提供商。

Cloud SCC于3月份启动alpha版本。当时,谷歌将其描述为云的“安全和风险平台”,通过收集数据和识别潜在威胁,防止它们造成任何损害。通过整合对App Engine,计算引擎,云存储和云数据存储等服务的可视性,它可以帮助管理员了解这些环境中的任何更改并减少未经授权的更改。

Cloud SCC的beta版涵盖了其他服务,包括云数据存储,云DNS,云负载平衡,云量计,容器注册,Kubernetes引擎和虚拟私有云。它还增加了新功能,包括13个新的身份访问管理角色,可用于控制对Google云资源的访问。

“借助Cloud SCC,您可以查看和监控云资产清单,发出安全异常警报,扫描云存储以发现存储敏感数据的位置,检测常见Web漏洞以及查看关键资源的访问权限,所有都通过一个集中的数据平台和仪表盘,Google产品经理Andy Chang在博客文章中写道。

Chang接着解释了可以使用Cloud SCC改善公司安全状况的三种方式。第一种方法是通过识别可公开访问的云存储桶或具有可能暴露给未授权人员的公共地址的虚拟机来发现潜在的安全风险。

Cloud SSC还允许管理员查看和处理对谷歌云平台资产所做的更改。 该服务执行持续的发现扫描,允许用户查看其资产历史记录,以准确了解其环境中发生的变化,并对未经授权的修改采取行动。

Chang表示,Cloud SSC可以与其他安全服务集成,其中包括Google的Data Loss Prevention API,Forseti和Cloud Security Scanner工具,以及来自Cavirin Systems,Cloudflare和Redlock等公司的第三方安全产品。

“通过将合作伙伴解决方案与Cloud SSC集成,您可以在一个地方全面了解风险和威胁,而无需单独使用控制台,”Chang说。

原文地址:http://blog.51cto.com/13762283/2329825

时间: 2024-10-19 18:08:26

Cloud Native Weekly | Kubernetes 1.13发布的相关文章

Cloud Native Weekly | 华为云抢先发布Redis5.0,红帽宣布收购混合云提供商

1--华为云抢先发布Redis5.02--DigitalOcean K8s服务正式上线 3--红帽宣布收购混合云提供商 NooBaa 4--微软发布多项 Azure Kubernetes 服务更新 1 华为云抢先发布Redis5.0 12月17日,华为云在DCS2.0的基础上,快人一步,抢先推出了新的Redis 5.0产品,这是一个崭新的突破.目前国内在缓存领域的发展普遍停留在Redis4.0阶段,华为云率先发布了Redis5.0,全面展现了华为云在业界缓存领域持续创新的实力.华为云分布式缓存R

Cloud Native Weekly | KubeCon首登中国,华为云亮相KubeCon

1.KubeCon首登中国,Kubernetes将如何再演进? 11月14日,由CNCF发起的云原生领域全球最大的峰会之一KubeCon+CloudNativeCon首次登陆中国,中国已经成为云原生领域一股强大力量,并且还在不断成长.在一些大公司,容器已经取得了显著的效果.京东从 OpenStack 迁移至 Kubernetes,资源利用率提高 30%:华为迁移至云原生环境后,运营成本削减 20-30%:雅虎日本已经利用Kubernetes自动进行生产部署:中国移动也开始使用容器代替虚拟机在平台

大咖云集!Kubernetes and Cloud Native Meetup 深圳站开始报名!

由阿里技术生态联合 CNCF 官方共同出品的 Kubernetes & Cloud Native Meetup 将在 8 月 31 日来到深圳.届时,阿里云.蚂蚁金服高级技术专家将携手来自国内知名容器开发专家 ,为你带来 Kubernetes 及 Cloud Native 技术的实践与落地经验. 活动亮点: 阿里集团.阿里云.蚂蚁金服等多位专家联合出品: 阿里云原生生态分享:OpenKruise, Serverless, 云文件存储,PaaS 平台云原生演进: 国内知名厂商带来云原生落地案例分享

kubeadm安装kubernetes 1.13.2多master高可用集群

1. 简介 Kubernetes v1.13版本发布后,kubeadm才正式进入GA,可以生产使用,用kubeadm部署kubernetes集群也是以后的发展趋势.目前Kubernetes的对应镜像仓库,在国内阿里云也有了镜像站点,使用kubeadm部署Kubernetes集群变得简单并且容易了很多,本文使用kubeadm带领大家快速部署Kubernetes v1.13.2版本. 注意:请不要把目光仅仅放在部署上,如果你是新手,推荐先熟悉用二进制文件部署后,再来学习用kubeadm部署.二进制文

《Cloud Native Infrastructure》CHAPTER 1(2)

Cloud Native Infrastructure "Cloud Native"是一个被市场过度解读的术语,但是它对于工程与管理来说仍然具有意义,对于我们,这是公有云提供商的技术演变史. "Cloud native" is a loaded term. As much as it has been hijacked by marketing departments, it still can be meaningful for engineering and m

On cloud, be cloud native

本来不想起一个英文名,但是想来想去都没能想出一个简洁地表述该意思的中文释义,所以就用了一个英文名称,望见谅. Cloud Native是一个刚刚由VMware所提出一年左右的名词.其表示在设计并实现一个应用时,软件开发人员需要尽量使用云所提供的一系列较为先进的特性来提高应用的开发及部署效率,并使得应用的服务质量,如高可用性等,得到显著的提升.其并没有一个定量的要求,而只是一种定性的思维方式.那么对云所提供的哪些特性的使用可以提高应用的开发及部署效率,提升服务质量呢? 由于网络上已经有了很多有关创

CentOS7.5 Kubernetes V1.13(最新版)二进制部署集群

一.概述 Kubernetes 1.13 正式GA,这是2018年发布的第四次也是最后一次大版本,1.13也是迄今为止发行最快的版本,仅用10周时间.此版本继续关注Kubernetes的稳定性和可扩展性,其中在存储和群集生命周期领域的三个主要功能实现普遍可用(GA).Kubeadm简化集群管理.容器存储接口(CSI)和CoreDNS作为默认DNS. 1.安装环境准备: 部署节点说明 IP地址 主机名 CPU 内存 磁盘 172.16.8.100 qas-k8s-master01 4C 4G 50

[转贴]CentOS7.5 Kubernetes V1.13(最新版)二进制部署集群

CentOS7.5 Kubernetes V1.13(最新版)二进制部署集群 http://blog.51cto.com/10880347/2326146 一.概述 kubernetes 1.13 已发布,这是 2018 年年内第四次也是最后一次发布新版本.Kubernetes 1.13 是迄今为止发布间隔最短的版本之一(与上一版本间隔十周),主要关注 Kubernetes 的稳定性与可扩展性,其中存储与集群生命周期相关的三项主要功能已逐步实现普遍可用性. Kubernetes 1.13 的核心

微服务浪潮中,程序猿如何让自己 Be Cloud Native

前言 CNCF 与 Cloud Native 这两个技术词汇最近频频走进了程序员的视野,一切和他能搭上边的软件意味着标准.开放.时尚,也更能俘获技术哥哥们的心:这篇文章不想去带大家重温这个词汇后面的软件体系,笔者觉得单凭用到了这些开源软件,不等于我们自己的软件就已经是 Cloud Native,在使用哑铃和成为肌肉男之间还隔着科学使用和自律锻炼两道工序:在此,笔者想根跟大家聊聊让我们的应用真正变得 Cloud Native 时的理论依据:微服务的十二要素.这篇文章也是先从作者自身项目的角度(一个