1. Linkerd 2.3正式宣布
Linkerd 2.3正式宣布�,�,,�,�,�,为Kubernetes提供零接触、零信任网络�,�,,�,�,�,标记着mTLS已经由实验情形正式生长为一项周全支持功效�,�,,�,�,�,同时带来一系列主要的清静基元�。�。�。最主要的是�,�,,�,�,�,Linkerd 2.3在默认设置下即可在网格效劳之间提供经由身份验证的保密通讯能力�。�。�。
�;�;�;じ鱇ubernetes效劳之间的通讯内容�,�,,�,�,�,是实现零信任网络系统的主要一步�。�。�。在零信任要领当中�,�,,�,�,�,Linkd不再对数据中心清静界线做出州不切现实的假设�,�,,�,�,�,而是将与身份验证、授权以及神秘性相关的要求“落地”至各个单位�。�。�。在Kubernetes术语当中�,�,,�,�,�,这意味着上述要求将运行在各集群内以验证、授权并加密对应通讯内容�。�。�。
实现流程形貌:
1) 控制平面中附带证书揭晓机制(简称为「身份」)�。�。�。
2) 数据平面各署理从身份效劳处吸收TLS证书�,�,,�,�,�,该证书与署理所归属的Kubernetes效劳账户绑定�,�,,�,�,�,且每24小时举行一次轮换�。�。�。
3) 数据平面各署剖析自动对网格效劳间的通讯举行升级�,�,,�,�,�,从而使用证书实现TLS毗连的验证与加密�。�。�。
由于控制平面同样运行在数据平面之上�,�,,�,�,�,因此控制平面各组件之间的通讯也将以同样的方法获得�;�;�;�。�。�。
以上提到的一切都将默认启用�,�,,�,�,�,不需要特殊设置�。�。��;�;�;谎灾�,�,,�,�,�,从2.3版本最先�,�,,�,�,�,Linkerd将为所有网格效劳之间提供经由加密以及身份验证的通讯通道�。�。�。虽然单凭这一次升级还无法实现Kubernetes中建设零信任网络的所有要求�,�,,�,�,�,但这仍然是一次主要的起源与实验�。�。�。
2. Fluentd 从 CNCF 结业
CNCF(云原生盘算基金会)在美国时间 2019 年 4 月 11 日宣布 Fluentd 正式结业了�。�。�。这是从 CNCF 结业的第 6 个项目�,�,,�,�,�,之前已经结业的项目为 Kubernetes、Prometheus、Envoy 、CoreDNS 和 containerd�。�。�。
Fluentd 自 2011 年由 Treasure Data 公司的联合首创人 Sadayuki “Sada” Furuhashi 建设�,�,,�,�,�,作为构建统一纪录层的开源数据网络器�,�,,�,�,�,统一纪录层�,�,,�,�,�,统一网络收罗和消耗�,�,,�,�,�,以便更好的使用和明确数据�。�。�。在 2016 年 11 月�,�,,�,�,�,Fluentd 也是第 6 个成为 CNCF 托管项目的�。�。�。
Fluentd 可以从多种数据源屎厕事务�,�,,�,�,�,并将它写入文件�,�,,�,�,�,RDBMS�,�,,�,�,�,NoSQL�,�,,�,�,�,IaaS�,�,,�,�,�,SaaS�,�,,�,�,�,Hadoop 等等种种的目的地点�。�。�。
3. Google宣布Cloud Run和Traffic Director
在上周于旧金山举行的 Google Cloud Next 2019 大会上�,�,,�,�,�,Google Cloud 正式宣布了Cloud Run和Traffic Director�。�。�。
Cloud Run是业界第一个基于Knative + Kubernetes + gVisor系统的Serverless 效劳�。�。�。允许开发者在完全受治理的无效劳器执行情形中�,�,,�,�,�,运行无状态 HTTP 驱动的容器�。�。�。它认真所有基础架构�,�,,�,�,�,涵盖设置、扩展和效劳器治理�,�,,�,�,�,其能够在‘几秒钟内’自动向上或向下扩展、甚至将资源占用降低为零�,�,,�,�,�,因此用户只需为现实使用的资源而付费�。�。�。Cloud Run 同时提供全托管和GKE两种安排模式�,�,,�,�,�,在全托管模式中基于knative 在Google的内部实现和gVisor清静容器运行�,�,,�,�,�,GKE模式中则完全基于开源knative来实现�。�。�。两个knative实现在API层一致�。�。�。
别的�,�,,�,�,�,Cloud Run的计费模子也颇具立异性:它不是完全凭证使命数和资源收费�,�,,�,�,�,而是将所有并发的请求算在一个计费单位内�,�,,�,�,�,这有望大大减低用户需要支付的本钱�。�。�。
Traffic Director是一个与 AWS App Mesh 对标的 Service Mesh 产品�。�。�。Traffic Director 通过 xDS 协议与数据平面的 Envoy 举行通讯�,�,,�,�,�,可划分与 Google Cloud 的MIG和NEG两款产品连系去提供 Service Mesh 的能力�。�。�。Traffic Director的功效与开源Istio项目中的 Pilot-discovery 相似�,�,,�,�,�,也复用了Istio 的不少手艺实现(好比�,�,,�,�,�,通过 iptables 完成流量透明阻挡)�。�。�。Traffic Director 支持全球负载平衡、集中式的集群康健检查、流量驱动的自动扩缩容等功效�,�,,�,�,�,资助客户在全球安排与治理高弹性的无状态应用�。�。�。
4. 开源项目Kubecost
大大都Kubernetes治理工具都着重于易用性�,�,,�,�,�,监控�,�,,�,�,�,对pod行为的洞察等�。�。�。可是怎样监控与运行Kubernetes相关的本钱?
Kubecost能够凭证 Kubernetes的原生 API,好比 Pod�,�,,�,�,�,Deployment�,�,,�,�,�,Service�,�,,�,�,�,Namespace 等看法逐层监控并详细的盘算和展现出每一层上你的真实破费�。�。�。更主要的是�,�,,�,�,�,无论你下层用的是 AWS 照旧 GCP�,�,,�,�,�,Kubecost 内置的本钱模子都可以应对自若�。�。�。
如使用实时Kubernetes指标以及从主要云提供商上运行的集群派生的现实本钱信息�,�,,�,�,�,以提供每个集群安排的每月本钱的仪表板视图�。�。�。内存�,�,,�,�,�,CPU�,�,,�,�,�,GPU和存储的本钱都由Kubernetes组件(容器�,�,,�,�,�,容器�,�,,�,�,�,效劳�,�,,�,�,�,安排等)剖析�。�。�。
Kubecost还可以跟踪“群集外”资源(例如S3存储桶)的本钱�,�,,�,�,�,只管现在仅限于AWS�。�。�。本钱数据甚至可以共享回Prometheus�,�,,�,�,�,因此可以使用数据以编程方法更改群集行为�。�。�。
5. kubernetes近期误差
CVE-2019-1002101 kubectl cp误差
近期kubernetes的kubectl cp下令发明清静问题(CVE-2019-1002101)�,�,,�,�,�,该问题严重水平较量高�,�,,�,�,�,建议将kubectl升级到Kubernetes 1.11.9,1.12.7,1.13.5或1.14.0版本以解决此问题�。�。�。
kubectl cp下令允许用户在容器和主机之间复制文件�,�,,�,�,�,其基来源理是:
1) 在源地点将文件打包�。�。�。
2) 打包输出内容作为stream流通过网络转达给目的地点�。�。�。
3) 转达路径包括:apiserver、kubelet、runtime
4) stream流在目的地点作为tar的输入�,�,,�,�,�,解压�。�。�。
详细执行历程可以参考kubernetes/pkg/kubectl/cmd/cp.go文件中的copyToPod和copyFromPod两个函数�。�。�。
在这个历程中�,�,,�,�,�,若是容器中的tar二进制文件是恶意的�,�,,�,�,�,它可以运行任何代码并输出意外的恶意效果�。�。�。当挪用kubectl cp时�,�,,�,�,�,攻击者可以使用它将文件写入用户盘算机上的任何路径�,�,,�,�,�,仅受外地用户的系统权限限制�。�。�。
Kube-proxy IPVS添加flag ipvs-strict-arp
kube-proxy的ipvs模式会将clusterIP/externalIP等绑定到节点上名为kube-ipvs0的dummy装备�,�,,�,�,�,以确保节点上的ipvs规则可以对会见这些地点的流量作转发�。�。�。
在1.13版本中�,�,,�,�,�,引入一个操作
echo 1 >/proc/sys/net/ipv4/conf/all/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce
以榨取IPVS模式下对kube-ipvs0 dummy装备上绑定的ip的ARP回复�,�,,�,�,�,详细可参考pr #70530�,�,,�,�,�,该改动是为了修复ipvs模式下load banlancer类型service不可正常使用的问题(issue:#59976)�。�。�。
而本次的buf fix则是跟前面的改动有关�,�,,�,�,�,由于前面的改动虽然解决了loadbalancer的问题�,�,,�,�,�,可是又引入了其他问题:有些CNI插件在主机和容器间的毗连会用到ARP协议�。�。�。因此我们看到有些用户升级到1.13后反响下面的问题:
issue#72779:kube-proxy v1.13.0 and 1.13.1 brokes services with externalIPs
issue#71555:kube-proxy/IPVS: arpignore and arpannounce break some CNI plugins
而本bug fix也很简朴�,�,,�,�,�,就是为kube-proxy加了一个启动参数ipvs-strict-arp�,�,,�,�,�,默以为0�,�,,�,�,�,即不改叛变点上的ARP设置�,�,,�,�,�,若是需要改变�,�,,�,�,�,则设置该参数值为1�。�。�。
CVE-2019-3874
这个清静误差最早由红帽的工程师Matteo Croce�,�,,�,�,�,Natale Vinto和Andrea Spagnolo发明�。�。�。当Kubernetes中的Pod以Root用户运行时�,�,,�,�,�,它可以绕过cgroup内存隔离�,�,,�,�,�,通过SCTP网络传输�,�,,�,�,�,建设一个潜在的DoS攻击�,�,,�,�,�,此问题自己与Kubernetes无关�,�,,�,�,�,可是涉及到Kubernetes挪用的内核模浚�?�?�。�。�。问题的严重性被界说为中等�,�,,�,�,�,社区建议将SCTP内核模浚�?�?榱腥牒诿ダ垂姹艽宋侍�。�。�。用户可以通过执行如下下令来测试是否会到此类攻击�。�。�。
modprobe sctp; lsmod | grep sctp
用户可以通过执行如下下令来把SCTP列入内核模浚�?�?榈暮诿�。�。�。
echo "install sctp /bin/true" > /etc/modprobe.d/sctp.conf
京公网安备11010802024551号