Kubernetes 1.13 ayaa timid oo hagaajinaysa nuglaanta halista ah ee la helay

Kubureteska

Qalabka Kubernetes Weelka Soodhawaynta Cusub 1.13 wuxuu ka saarayaa u nuglaanta halista ah (CVE-2018-1002105), taas oo u oggolaanaysa isticmaale kasta inuu helo awood buuxda oo ku saabsan koox konteynarro go'doon ah. Dhibaatada sidoo kale waxaa lagu hagaajiyay cusbooneysiinta 1.10.11, 1.11.5 iyo 1.12.3.

Jilicsanaanta laga helay Kubernetes, si loo fuliyo weerarka, waa ku filan tahay in loo diro codsi si gaar ah loo qaabeeyey iyada oo loo marayo API-ka si loo go'aamiyo dib-u-soo-celinta la heli karo (codsiga helitaanka).

Ku saabsan dayacanka Kubernetes

Cilad awgeed, codsigan noocan ah ayaa ka tagaya isku xirnaanta shabakadda mid furan, oo u oggolaanaya isticmaalka server-ka API (kube-apiserver) dhexdhexaadiye ahaan si uu codsi ugu diro adeege kasta adoo adeegsanaya iskuxirka lagu aasaasay serverka API.

Marka loo eego codsiyada loo gudbiyo isku xirnaanta noocan oo kale ah waxaa ka baaraandegi doona gadaal sida codsiyada serverka API-ga ah, ayaa la diray iyadoo la adeegsanayo cabbiraadaha aqoonsiga serverka API.

Asal ahaan, dhammaan adeegsadayaasha Kubernetes ee la xaqiijiyay iyo kuwa aan la xaqiijin waxay awood u leeyihiin inay u diraan codsiyada iyada oo loo marayo helitaanka API, kuwaas oo ku filan in la weeraro.

Sidaa darteed, adeegsade kasta oo Kubernetes ah oo bilaa xuquuq ah oo marin u hela API-ga wuxuu si buuxda gacanta ugu hayn karaa dhammaan kaabayaasha, tusaale ahaan isagoo diraya codsi uu ku socodsiinayo lambarkooda martida.

Marka lagu daro helitaanka xakameynta kaabayaasha Kubernetes, u nuglaanta ayaa sidoo kale lagu dabaqi karaa weerarada lagu bartilmaameedsanayo macaamiisha iyada oo loo marayo wax isdaba marinta adeegyada macaamiisha ee ku jira daruuraha.

Dhibaatadu waxay muujineysaa dhammaan noocyada Kubernetes, laga bilaabo nooca 1.0.

Sidaa darteed, dhammaan maamulayaasha Kubernetes waxaa lagu dhiirrigelinayaa inay si deg-deg ah ugu cusbooneysiiyaan nidaamyadooda arrimaha hadda jira, iyo sidoo kale inay hubiyaan nidaamka diiwaangelinta ee ku saabsan dhaqdhaqaaqyada xun.

Xal ahaan si looga ilaaliyo weerarada adeegsadayaasha aan la fasaxin, waxay gabin karaan gelitaanka qarsoodiga ah ee API adoo adeegsanaya ikhtiyaarka "–anonymous-auth = false" kana noqo xuquuqda aad ku qabato howlaha fulineed / ku lifaaqid / gudbinta.

Waxaa si gooni gooni ah loogu xusay in qoraalada Kubernetes lagu weerarayo iyadoo la adeegsanayo codsiyo aan la fasaxin haba yaraatee aan la qorin, sidaa darteed waxaa suurtagal ahayd in la go'aamiyo in tanaasulku uu suurta gal yahay kaliya calaamado aan toos ahayn.

Ku saabsan sii deynta Kubernetes 1.13 cusub iyo waxa cusub

Kubernetes 1.13

Kuubkan cusub ee 1.13 sii deynta Isku xirka CSI (Weelka Kaydinta Weelka) ayaa la xasiliyay, oo kuu oggolaanaya inaad abuurto fiilooyin si aad u taageerto nidaamyo badan oo keyd ah.

CSI waxay bixisaa hal isku xirid ah oo loogu talagalay qoondaynta, ku dhejinta, iyo kor u qaadista bakhaarada, taas oo kuu oggolaanaysa inaad bixiso waxyaabo loogu talagalay isdhexgalka adeegyada kala duwan ee kaydinta iyada oo aan loo baahnayn isbeddel lagu sameeyo xarfaha Kubernetes.

Sida caadiga ah, Server-ka CoreDNS DNS ayaa la adeegsadaa.

CoreDNS wuxuu ku qoran yahay luqadda Go wuxuuna u taagan yahay naqshad dhismeedka qaab-dhismeedka dabacsan.

Tusaale ahaan, shaqooyinka gaarka ah sida daahfurka adeegga Kubernetes, metric accumulation ee nidaamka kormeerka Prometheus, iyo isdhexgalka nidaamka keydinta qaabeynta, iwm. waxaa lagu fuliyaa iyada oo loo marayo fiilooyin.

Kubeadm waxaa loo xasiliyey inuu yahay isdhexgal fudud oo lagu maareeyo kooxda Kubernetes, kaas oo kuu oggolaanaya inaad qabato howgallo sida abuurista iyo fidinta koox koox mashiinka jira, u qaabeyso qaybaha aasaasiga ah ee Kubernete, isku xir iyo ka saar noodhadhka, samee howlo casriyeyn ah;

Isku-xirka tijaabada ah ayaa loo soo bandhigay abuurista waxyaabo loogu talagalay la-qabsiga nidaamyada kormeerka dhinac saddexaad.

Diiwaanka qalabka Kubelet ee adeegga xasilloon, kaas oo bixiya habab looga helo Kubelet laga helo fiilooyinka.

TAVS (Jadwalka Jadwalka Jumlada ee Topology Aware) Jadwalka qaybinta weelka ayaa la dejiyay, iyadoo la tixgelinayo topolojiga qaybaha boodhka (iyada oo la tixgelinayo xaddidaadaha loo dhigay noodhadhka iyo aagagga).

Waxaan tagnay wajiga tijaabada beta ee APIServer DryRun, kooxda Kubectl Diff iyo awooda adeegsiga aaladaha ceyriin ee ceeriin ahaan ilaha xogta joogtada ah (isha mugga joogtada ah).

Hadaad rabto inaad waxbadan ka ogaato sii deyntaan cusub awoodaan booqo xiriirka soo socda.


Noqo kuwa ugu horreeya ee faallo bixiya

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.