K8S 生態週報| Docker 19.03.3 DNS 再也不區分大小寫

時間 2019-11-06

標籤 k8s 生態週報 docker 19.03.3 dns 再也不區分大小寫欄目 Docker 简体版

原文原文鏈接

「K8S 生態週報」內容主要包含我所接觸到的 K8S 生態相關的每週值得推薦的一些信息。歡迎訂閱知乎專欄「k8s生態」。文末有活動，歡迎參與。html

Docker 19.03.3 正式發佈

在本週 Docker 發佈了 19.03.3 版本，這個版本的變動內容 很重要，我會將主要內容都列出來。(上週週報介紹了 19.03.3-rc1 的一些狀況)git

DOCKER-USER iptables 鏈丟失；若是你並不須要在 DOCKER-USER 鏈上定義規則的話，那你也並不會受此問題的影響。github

臨時解決辦法：手動添加丟失的鏈，操做以下：golang

iptables -N DOCKER-USER
iptables -I FORWARD -j DOCKER-USER
iptables -A DOCKER-USER -j RETURN
複製代碼

這個問題會在 19.03.4 中進行修復, 很快會進行發佈； 實際會把 libnetwork 中有問題的那段代碼先去掉。若是已經升級了此版本的用戶，受到此問題影響的話，可使用上述方式進行臨時解決。docker

將 runc 更新到了 v1.0.0-rc8-92-g84373aaa 這其中包含了 runc 中對 CVE-2017-18367 的修復，該漏洞的根本緣由在於 libseccomp-golang 中一個錯誤的邏輯運算，有興趣的朋友能夠點開連接看看實際的修復代碼，而且也能夠發現該代碼其實在 2017 年 4 月就已經合併進 libseccomp-golang 的主幹中了，但實際上在今年 6 月在 runc 中才真正修復。

這個問題其實反映出來的是當咱們在維護項目時，對本身所用的各類依賴須要有所瞭解和把握，總體來說，儘量避免依賴項過舊是個好事兒；而且安全問題很是值得關注。安全

修改了仍使用 schema1 進行鏡像 push/pull 操做時的通知邏輯，早在今年 6 月份我推送的週報中就已經提到過建議升級至 schema2 來得到長久的支持，以及更好的兼容性。具體的升級版本之一就是使用最新版的 Docker，將鏡像 pull 後再從新 push 便可（適用於大多數狀況）；bash
根據 RFC4343 Docker 修改了內部 DNS 的邏輯，使其符合了 RFC4343 的規範， DNS 開始再也不區分大小寫了 。若是在實際使用中有依賴大小寫解析的狀況，請及時修改邏輯。app

對此版本感興趣的朋友能夠參考 ReleaseNote工具

Helm 3 已經進入發佈了 beta4 的版本，如今計劃下個版本是 beta5，仍然將繼續修復 bug 和提高穩定性。學習

這裏也有一個安全問題：修復了 CVE-2019-1000008 這個問題一開始是爲 Helm 2 而報告的，但實際上在 Helm 3 中也存在，因此這次 beta4 中包含了修復代碼, 建議升級。

此次的 break change 就 4 個，對於處於 beta 期的 Helm 3 也還能夠理解。

如下是一些值得注意的點：

對此版本感興趣的朋友能夠參考 ReleaseNote

K8S 文檔工做組將會對 K8S 文檔中引用的第三方內容進行清理和組織，以免文檔中出現過多的「使用 xx 工具部署 Kubernetes」之類的內容。（好比「使用 Kind 來部署 Kubernetes 本地集羣」就是容許存在的內容）；
一樣的爲了修復安全漏洞 CVE-2019-11253 ，如今限制 YAML/JSON 的解碼大小爲 3M ， #83261