K8S 生態週報| runc v1.0.0-rc9 發佈

時間 2019-11-06

標籤 k8s 生態週報 runc v1.0.0 rc9 發佈简体版

原文原文鏈接

「K8S 生態週報」內容主要包含我所接觸到的 K8S 生態相關的每週值得推薦的一些信息。歡迎訂閱知乎專欄「k8s生態」。

runc v1.0.0-rc9 發佈

不知不覺，runc v1.0.0-rc9 於近日發佈了。早先關注過我文章的朋友們應該看到過我從去年開始每次在 runc 新版本發佈時都有專門寫一篇文章進行介紹。此次版本的定位主要是修復 CVE-2019-16884 因此我也就再也不單獨寫文章介紹了（另外一個緣由是如今在假期，仍是多抽空陪陪家人）linux

先對 CVE-2019-16884 作個簡單的介紹。這是一箇中等級別的漏洞，其主要影響是 runc 源碼中的 libcontainer/rootfs_linux.go 在文件掛載至 /proc 時，少作了一些檢查，可繞過 AppArmor 的限制，因此可能致使被一些惡意鏡像所利用。git

主要的修復方式是將原先的 checkMountDestination 函數改寫爲 checkProcMount，並在其中添加了對源文件類型的判斷，只容許 procfs 類型的文件掛載至 /proc 。github

此漏洞影響到的範圍是 runc 以及一些使用 runc 做爲基礎組件的容器管理軟件。請儘快進行升級。golang

此版本的地址是：https://github.com/opencontai...docker

Docker v19.03.3-rc1 發佈

自從 Docker 修改維護週期後，Docker 對軟件的質量要求有了顯著提升，每次版本發佈前會經歷多階段的測試和迴歸，確保軟件沒有什麼問題後纔會發佈正式版。函數

按如今的進度來看 v19.03.3 應該會在一兩週內放出。新版本會將 containerd 升級至最新的 1.2.10 ，並修復了一個在 5.2 版本內核上 overlay2 文件系統掛載時的錯誤。測試

關於此版本感興趣的朋友能夠參考 ReleaseNotespa

上游進展

Kubernetes v1.17 已經進入發佈週期，這個版本的發佈週期會比較短，如今已經發布了 v1.17.0-alpha 版本，計劃是在 12 月 9 日能夠最終發佈。(想一想看，距如今也就兩個月的時間，你的集羣如今是哪一個版本呢？)code

另外，在近期將會發布 v1.13.12 版本，這將是 v1.13 分支的最後一個版本，若是仍是使用此版本的朋友，請儘快進行升級了。（固然，與它同時發佈的也還有 1.16.2，1.15.5 和 1.14.8 若是要升級能夠等這幾個版本發佈後再進行升級，省得還得重複升級）rem

k8s.io/klog 升級到了 v1.0 #83014

另一個有趣的事情是 Kubernetes v1.17 如今把 golang 版本更新到了 1.12.10 ，不出意外的話， v1.17 將會一直使用 go 1.12.x 版本，直到下個版本纔可能會升級至 go 1.13.x (這裏最主要的緣由是在 go 1.13.0 發佈後，通過大量回歸測試後發現， Kubernetes 在 go 1.13.0 上的表現不如 go 1.12.x 而依據 golang 的維護週期，以及 kubernetes 的維護週期來看的話，使用 go 1.12.x 看起來沒什麼風險，因此可能就會一直保持這個決定吧。