k8s ubuntu cni_周一见 | CNCF 人事变动、最新安全漏洞、K8s 集群需警惕中间人攻击...
本周新闻作者:bot(才云)、Bach(才云)
技术校对:星空下的文仔(才云)
1. CNCF:Priyanka Sharma 上任
2. MicroK8s 支持 Windows/macOS
3. 《容器和 K8s 安全状态》报告分析
4. Kubernetes 的 6 个事实
5. 安全漏洞:CVE-2020-8555
6. K8s 集群需警惕中间人攻击
本文共计 2612 字,阅读大约需要 5 分钟
1 CNCF:Priyanka Sharma 上任 近日,CNCF 宣布,作为社区长期贡献者、云原生计算专家和开源社区的领导者,Priyanka Sharma 将从 Dan Konhn 手里接过领导职务,担任 CNCF 总经理一职。
https://www.cncf.io/announcement/2020/06/01/priyanka-sharma-joins-cncf-as-general-manager/
2MicroK8s 支持 Windows/macOS MicroK8s 是一款功能强大、轻量级、可靠的生产型 Kubernetes 衍生版。 它提供开箱即用的附加组件,如 Istio、Knative 和 Kubeflow 等,非常适合学习 Kubernetes。 Windows 和 macOS 的开发者现在可以原生地使用 MicroK8s。这意味着开发人员可以像在 Linux 上一样,在 Windows 和 Mac 上使用 kubectl 与本地的 MicroK8s 交互。与桌面的整合意味着开发人员可以更好地在本地开发、编译、测试容器化应用。 Windows 的安装助手是一个本地可执行文件,可从 microk8s.io 下载 。 Windows 上的 MicroK8s 使用了 Multipass 和 Hyper-V 或 VirtualBox 来驱动一个托管 Kubernetes 的专用 Linux VM。Windows 上的 MicroK8s 可执行开启、停止和管理 VM 和 Kubernetes 本身。
brew install ubuntu/microk8s/microk8s.
https://ubuntu.com/blog/microk8s-installers-windows-and-macos
3《容器和 K8s 安全状态》报告分析 通过研究并分析 StackRox 在 2019 年和 2020 年发布的《容器和 Kubernetes安全状态》报告,发现了以下几点变化: 越来越多的容器受到安全威胁 根据调查结果,在过去的 12 个月中,有 94% 的受访者需要处理各种类型的安全事件。
亚马逊 EKS — 37%
Kubernetes — 35%
亚马逊 ECS — 28%
Azure AKS — 21%
Google GKE — 21%
https://dzone.com/articles/container-and-kubernetes-security-a-2020-update
4Kubernetes 的 6 个事实 昨天,Kubernetes 迎来了其第六个生日。这是有史以来发展最快的开源项目之一。它推动着企业 IT 领域的重大变革,帮助开发人员大规模管理容器,快速开发应用程序,自动化方式管理资源。但是你真的了解 Kubernetes 吗?以下是 6 个容易被忽略的事实:
1.Kubernetes 不仅仅适用于最新的应用程序
微服务、无服务器等新的架构风格以及服务网格等技术非常适用于 Kubernetes ,但传统的一体化应用程序同样可以在容器中运行。现在越来越多的应用程序在使用 Kubernetes,例如容器原生虚拟化和 KuberVirt 就支持在 Kubernetes 上虚拟化工作负载。
2.随着公有云服务的发展,Kubernetes 愈发有用
Kubernetes 不仅可以在单个云上运行单个集群,还可以跨多个云运行多个集群。Kubernetes 高级集群管理统一了多集群管理,提供基于策略的治理方案,并拓展了应用程序生命周期管理。
3.Kubernetes 正在成为云端和本地资源的实际计算控制平面
容器可以对服务进行完整打包,解决了开发人员维护环境的问题。同时,开发人员管理 Kubernetes 集群也愈发熟练。我们正迈向一个在 Kubernetes 集群中进行传统基础架构管理的世界。
4.Kubernetes 可以利用 GPU 加速工作负载
Kubernetes 可以利用图形处理单元(GPU)来加快机器学习和人工智能的工作速度。
5.Kubernetes是必需的,但不足以构成一个完整的容器平台
Kubernetes 虽然是容器编排的标准,但也只是容器平台的一部分。在容器调度之外,一个完整的容器平台还需要平台服务、应用程序服务、开发人员服务、集群服务以及操作系统。
6.容器化的工作负载不仅适用于本地应用
许多应用程序已经容器化并且由相应的 Kubernetes Operators 管理其生命周期。与其将容器应用于新的本地应用程序,不如将它们与运行的虚拟化 ISV 应用程序连接到一起。它们可以在一个平台上共同运行。
https://enterprisersproject.com/article/2020/6/kubernetes-birthday-6-facts5安全漏洞:CVE-2020-8555近日,来自 Groupe Asten 的 Brice Augras 和诺基亚的 Christophe Hauquiert 共同发现了一个 Kubernetes 漏洞,不仅获得了 Kubernetes 社区奖励,还获得了 Azure Cloud Bug 的最高赏金奖励!
该漏洞(CVE-2020-8555)存在于 kube-controller-manager 组件。它源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。远程攻击者可以利用此漏洞进行 SSRF 攻击,从未受保护的端点泄漏获取多达 500 字节的任意信息。
该安全漏洞的攻击前提为:
kube-apiserver 暴露了非认证本地端口
存在其他不受保护的服务被暴露于控制台节点(Master Node)网络下
恶意用户在目标集群有创建 Pod 权限并有 StorageClass 的写权限
下列版本均在此 CVE 影响范围:
kube-controller-manager v1.16.0~v1.16.8
kube-controller-manager
为了避免受到攻击,安全专家建议开发者通过 PodSecurityPolicy 或第三方工具 Gatekeeper 实施适当的策略,或通过 Kubernetes 访问控制来限制 StorageClass 的写入权限。同时,更新到补丁版本可能是更好的选择,因为现在已经有修复程序。
https://www.cbronline.com/news/kubernetes-bug
6K8s 集群需警惕中间人攻击近日,Kubernetes 产品安全委员会发布警告,配置了某些容器网络(CNI)的 Kubernetes 集群可能会受到中间人(MITM)攻击。
该漏洞影响运行“default Kubernetes security context”的集群:即以 CAP_NET_RAW 权限运行的工作负载。 这个漏洞本身并不是由于 Kubernetes,而是各种 CNI 插件。 以下是包含 kubernetes-cni 的官方 kubelet 软件包版本:- kubelet v1.18.0-v1.18.3
- kubelet v1.17.0-v1.17.6
- kubelet
- 0.8.6 版本之前的 CNI
- Calico 和 Calico Enterprise
- 19.03.11版本之前的 Docker
- 2.6.3 版本之前的 Weave Net
推荐阅读:
在看点一下