“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。”
Kubernetes ingress-nginx v1.1.2 发布
就在今天 Kubernetes ingress-nginx 项目发布了 v1.1.2 版本。我是这个版本的 release manager 。
距离上个版本发布有将近两个月了,我们来看看这个版本中值得关注的一些变更。
在 #8221 中,我们对 ingress-nginx 的 Admission controller 的逻辑做了一些调整, 主要是可以用来修正 自 v1.0 版本后,如果 Kubernetes 集群中同时运行多个 ingress-nginx 的话,在创建 Ingress 资源的时候,可能导致每个 ingres-nginx 的 Admission 都会去进行检查的问题。而该问题最大的影响是,如果创建的 Ingress 配置相同的话,则会被直接拒绝掉。
在 #8253 中则是为 ingress-nginx 增加了一个 ssl_certificate_info
的 metric, 直接公开当前被加载的证书的信息。这个功能的最大的好处就是可以避免 Ingress controller Pod 加载了旧证书,进而导致客户端连接失败的问题。
此外 #8256 是为了修正在 nginx.ingress.kubernetes.io/auth-url
中传递无效 URL 的问题,建议升级 。
此外还有一些小的 bugfix 和优化,更多详细信息请参考 ReleaseNote 。
在这次发布过程中还有一些比较有趣的事情, 本次发布过程从时间线看,从我开始发布流程,到最后完成发布,共持续了一周的时间,由几个人异步协作完成。这跟往常差别还是比较大的,往常我们可能会约某个时间,同时在线一起来完成。这次各种原因吧,也比较忙, 往后也许就会保持这种模式了 (对多时区的协作比较友好)。
Istio 1.13.1 发布
在之前的 《K8S 生态周报| Istio 即将发布重大安全更新,多个版本受影响》 中,我曾介绍过 Istio v1.13 的主要功能, 以及 Istio 会在 v1.13.1 中修复一个重大安全漏洞 CVE-2022-23635。
现在包含该漏洞补丁的相关版本已经发布,包括 v1.11.7、v1.12.3 和 v1.13.1。该漏洞主要是会影响在多集群中运行的 Istio ,或者暴露在公网环境中的 Istio。攻击者可以通过访问未经身份验证的接口发送特定请求,进而导致 istiod 拒绝服务。
更多详情请参考 Istio / ISTIO-SECURITY-2022-003
Knative 进入 CNCF
上周,CNCF 技术监督委员会(TOC) 投票决定接受 Knative 作为 CNCF 孵化项目。
这个事情早在 2021 年的 11 月,当时 Google1 和 Knative2 项目均发布文章表示已经申请成为 CNCF 的孵化项目。
如今终于顺利成为 CNCF 的孵化项目,这无论对 Knative,CNCF 还是社区都是非常好的。
在我之前的文章中也曾介绍过, Knative 最早是由 Google 在 2018 年创立并开源的,之后又与 IBM,Red Hat,VMware 等公司合作 开发。
如今 Knative 几乎可以说是云原生领域中安装最为广泛的 Serverless 项目了 (数据来自 CNCF 的报告),并且它也已经达到了 v1.0 版本。此外 Google 还推出了基于 Knative 的 Cloud Run 和 Cloud Run For Anthos 等产品,这些都对 Knative 的普及起到了很大的作用。
未来,Knative 将在 CNCF 下培育其社区,并在基金会下转向完全开放的治理模式, 很有可能就会是云原生时代下开源 Serverless 领域的事实标准了。
公告详情请参考:Knative accepted as a CNCF incubating project
上游进展
- #107638 · kubernetes/kubernetes 更新了
k8s.io/utils
的依赖,主要是为了解决 kubelet 中的 inotify 泄漏的问题,更多细节可参考 kubelet uses 120GB memory after 20,000 job created and retains 80GB memory after jobs completed and deleted · Issue #100241 · kubernetes/kubernetes
其他
- containerd 发布了 v1.6.1 主要是为了修复 CVE-2022-23648;
- rook 发布了 v1.8.6,为 Ceph v16.2.7 和更新版本支持 OSD 的 raw mode;
参考资料
[1]k8s生态: https://zhuanlan.zhihu.com/container