<dl id="opymh"></dl>

<div id="opymh"></div>
      <div id="opymh"><tr id="opymh"></tr></div>

        <em id="opymh"><ins id="opymh"><mark id="opymh"></mark></ins></em><sup id="opymh"><menu id="opymh"></menu></sup>

        <em id="opymh"></em>

        <em id="opymh"><ol id="opymh"></ol></em>

              频道栏目
              首页 > 网络 > 云计算 > 正文

              K8S漏洞报告|近期bugfix解读

              2019-03-08 10:28:11           
              收藏   我要投稿

              安全漏洞CVE-2019-1002100

              3月2日,kubernetes社区公布了一个中等程度的安全漏洞CVE-2019-1002100。

              该漏洞最早由Carl Henrik Lunde发现,并于2月25日在kubernetes发布issue(#74534)。根据描述,具有patch权限的用户可以通过发送一个精心构造的patch请求来消耗apiserver的资源,最终会导致apiserver无法响应其他请求。

              具体被构造的请求是一个json-patch类型的patch请求,比如kubectl patch --type json或"Content-Type: application/json-patch+json",大家可以通过构造类?#39057;?#35831;求检查自己的apiserver是否有此漏洞。

              kubernetes宣布这是一个中等?#29616;?#31243;度的漏洞,并且很快发布了修复的版本,包括v1.11.8、v1.12.6、v1.13.4,大家可以升级到对应的版本以修复此漏洞。

              ?#27604;唬?#22914;果不想升级kubernetes版本的话,也可以规避掉这个问题。只给可信任的用户发放patch权限就行了。

              最后,该漏洞对应的issue和修复pr信息如下,大家可以自行参考学习:

              【独家】K8S漏洞报告

                                                                            Scheduler相关bug fix分析

              随着kubernetes的成熟,集群规模也越来越大,而在大规模集群中,scheduler似乎越来越成为整个集群的瓶颈。近期的bug fix都有不少是scheduler相关的问题。下面就根据这?#38382;?#38388;scheduler相关的bug fix,分析大规模集群中调度器可能出问题的地方。

                                                                                           #72754 修复
                                                                       unscheduleable pod过多可能的调度问题

              该问题的背景是#71486这个issue。加入大规模集群存在很多暂时不能调度的pod,当有?#24405;?#26356;新
              时,scheduler会将这些pod放到active队列重新进行调度,而?#24405;?#20837;的pod也会进入这个队列。这就会导致这个队列过大,这个队列本身是按照pod优先级排列,这样?#24405;?#20837;的pod可能会排到同优先级的其他不可调度的pod之后。

              由于经常会有?#24405;?#35302;发unscheduleable的pod重新调度,这就可能会导致有些pod一直排不到。

              针对这个问题的修复方式就是修改优先级队列的排序逻辑,这个过程也经过了两轮优化,最终版本是:

              默?#20064;?#29031;pod优先级排序 pod优先级相同的话使用pod的podTimestamp排序,时间越早,优先级越高。

              而podTimestamp根据pod生命周期的不同会选择不同的时间标签:

              新创建的pod:CreationTimestamp

              已经成功调度过的pod:LastTransitionTime

              调度失败的pod:LastProbeTime

                                                    #73296 防止pod调度到not ready的节点

              该问题由issue#72129提出,因为scheduler调度时不再关心node状态(只根据node?#31995;膖aint调度),而新创建的node虽然状态为not ready,但是没有被打上notready的taint,scheduler可能在节点ready之前就把pod调度到not ready的节点上,这显然不是我们期望的行为。

              该bug fix对这个问题的解决方法是,添加一个名为nodetaint的admission controller,这样在节点创建?#26412;?#20250;给节点添加一个taint,从而无差别的给新创建的node添加notready的taint。

                                                        #73454 添加协程定时
                                               将不可调度的pod移动到active队列

              scheduler之前的逻辑,是通过?#24405;?#35302;发不可调度的pod移动到active队列重新调度。

              这个逻辑在大部分场景下没什么问题,但是在大规模集群中,有可能出现有新的?#24405;?#35302;发,但是scheduler没有及时同步这个?#24405;琾od根据之前的信息放入不可调度的队列。而这时候?#24405;?#24050;经发生过了,?#25442;?#35302;发它重新调度。

              这就有一定的概率导致pod可以被调度,但是放到了不可调度队列,又在很长一?#38382;录换?#37325;试。

              本bug fix是通过添加一个协程,以1min为间隔,将不可调度队列中的pod放到active队列重新调度。

                                                            kubernetes 1.13.2-1.13.4 
                                                                        bug fix数据分析

              本周更新1/11-3/4期间的相关bug fix数据,正好是1.13.2-1.13.4两个版本间的数据。

              总体来说,这两个版本更新的内容并不多,总共也才36条bug fix,去第三方云提供商相关的、test相关的,则只有20+条。其中比较?#29616;?#30340;bug就更稀缺了。可见kubernetes核心组件已经愈趋稳定。

              另外前几天社区公布了一个不大不小的漏洞,具体上文已经分析过了。大家可以根据自己的情况决定是否升级到最新版本。

              下面是这?#38382;?#38388;值得关注的一些pr,大家有兴趣的话可以自行前往社区查看原始pr学习:

              #72754 #73296 #73454 #73562 #73909 #74102

              最后,关于具体数据,还是查看图表吧:

              bug?#29616;?#31243;度统计【独家】K8S漏洞报告
              近期bug fix数据分析:
              【独家】K8S漏洞报告

              相关TAG标签 解读
              上一篇:开传奇游戏需要什么配置的服务器
              下一篇:斜杠青年与你共探微信小程序云开发
              相关文章
              图文推荐

              关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

              版权所有: 红黑联盟--致力于做实用的IT技术学习网站

              极速飞艇好假
              <dl id="opymh"></dl>

              <div id="opymh"></div>
                  <div id="opymh"><tr id="opymh"></tr></div>

                    <em id="opymh"><ins id="opymh"><mark id="opymh"></mark></ins></em><sup id="opymh"><menu id="opymh"></menu></sup>

                    <em id="opymh"></em>

                    <em id="opymh"><ol id="opymh"></ol></em>

                          <dl id="opymh"></dl>

                          <div id="opymh"></div>
                              <div id="opymh"><tr id="opymh"></tr></div>

                                <em id="opymh"><ins id="opymh"><mark id="opymh"></mark></ins></em><sup id="opymh"><menu id="opymh"></menu></sup>

                                <em id="opymh"></em>

                                <em id="opymh"><ol id="opymh"></ol></em>

                                      btv体育 内蒙古时时彩 快乐扑克3攻略 今天排列5预测最准的 四川省金7乐开奖走势图 秒速飞艇官方投注平台 18156期足彩进球彩 重庆时时彩欢乐生肖 江苏时时彩开奖规则 南幸运赛车历史开奖走势图 福彩湖南动物总动员开奖结果 英超最新主客场积分榜 中国竞彩网中体产业 七乐彩中奖 生肖中特-2013特码表