作者：bot(才云)、Bach(才云)

技术校对：星空下的文仔(才云)

本周新闻

1. CNCF：Priyanka Sharma 上任

2. MicroK8s 支持 Windows/macOS

3. 《容器和 K8s 安全状态》报告分析

4. Kubernetes 的 6 个事实

5. 安全漏洞：CVE-2020-8555

6. K8s 集群需警惕中间人攻击

本文共计 2612 字，阅读大约需要 5 分钟

1 CNCF：Priyanka Sharma 上任近日，CNCF 宣布，作为社区长期贡献者、云原生计算专家和开源社区的领导者，Priyanka Sharma 将从 Dan Konhn 手里接过领导职务，担任 CNCF 总经理一职。

Priyanka 曾参与数个 CNCF 项目，如 Jaeger 和 Vitess，并且是 OpenTracing 标准的创始团队成员。此外，Priyanka 是云原生和观察力方面的主要演讲者和主题专家，发表过关于 Kubernetes、Prometheus、Jaeger、OpenTracing、Envoy、Vitess、SPIFFE/SPIRE 等演讲。未来，Priyanka 将与 CNCF 的业务和技术领导紧密合作，继续构建云原生生态系统。Dan Kohn 将继续参与 CNCF 活动。近日，他就启动了一个新的 Linux 基金会项目，以帮助公共卫生当局抗击 COVID-19 和其他流行病。而此前，他曾多次来华参与 K8sMeetup 中国社区与才云科技主办的中国云原生用户大会(CEUC)和 Kubernetes 中国用户大会(KEUC)，并发表主题演讲，以推动 KubeCon 在中国发展。如今，CNCF 已经拥有近 50 个项目，560 个成员组织，近 9 万名贡献者，目前是所有开源基金会中最大的终端用户社区。

https://www.cncf.io/announcement/2020/06/01/priyanka-sharma-joins-cncf-as-general-manager/

2MicroK8s 支持 Windows/macOSMicroK8s 是一款功能强大、轻量级、可靠的生产型 Kubernetes 衍生版。它提供开箱即用的附加组件，如 Istio、Knative 和 Kubeflow 等，非常适合学习 Kubernetes。Windows 和 macOS 的开发者现在可以原生地使用 MicroK8s。这意味着开发人员可以像在 Linux 上一样，在 Windows 和 Mac 上使用 kubectl 与本地的 MicroK8s 交互。与桌面的整合意味着开发人员可以更好地在本地开发、编译、测试容器化应用。Windows 的安装助手是一个本地可执行文件，可从 microk8s.io下载 。Windows 上的 MicroK8s 使用了 Multipass 和 Hyper-V 或 VirtualBox 来驱动一个托管 Kubernetes 的专用 Linux VM。Windows 上的 MicroK8s 可执行开启、停止和管理 VM 和 Kubernetes 本身。

开发者在 macOS 上可使用 Homebrebrew 包管理器来安装 MicroK8s。

brew install ubuntu/microk8s/microk8s.

Multipass 在后台运行一个 VM 来托管 MicroK8s，让用户无需过多关注基础运行过程。

https://ubuntu.com/blog/microk8s-installers-windows-and-macos

3《容器和 K8s 安全状态》报告分析通过研究并分析 StackRox 在 2019 年和 2020 年发布的《容器和 Kubernetes安全状态》报告，发现了以下几点变化： 越来越多的容器受到安全威胁根据调查结果，在过去的 12 个月中，有 94% 的受访者需要处理各种类型的安全事件。

这个数字非常庞大。因为即便是简单的数据泄露，也可能导致应用程序及其安全性失去信任，进而引发业务风险。不过该报告还指出，绝大多数的安全风险是由人为因素引起的，大多是由于云环境或 Kubernetes 集群配置错误导致的。 容器安全策略愈发完善 在 2019 年的报告中，有 34% 的受访者表示其容器安全策略不够完善，但在今年，这个数字已经下降到 22%。同时，大家都表示容器安全策略越来越可靠且易于使用。有 34% 的受访者将其安全策略评为中级(足以解决大多数安全威胁的高级策略)，14% 的受访者表示已经达到了成熟状态。最流行的 5 种容器编排工具报告对市场上最受欢迎的容器编排工具进行了统计：

• 亚马逊 EKS — 37％

• Kubernetes — 35％

• 亚马逊 ECS — 28％

• Azure AKS — 21％

• Google GKE — 21％

Kubernetes 凭借其易用性占据了相当的份额，无愧其容器编排事实标准的地位。

https://dzone.com/articles/container-and-kubernetes-security-a-2020-update

4Kubernetes 的 6 个事实昨天，Kubernetes 迎来了其第六个生日。这是有史以来发展最快的开源项目之一。它推动着企业 IT 领域的重大变革，帮助开发人员大规模管理容器，快速开发应用程序，自动化方式管理资源。

但是你真的了解 Kubernetes 吗？以下是 6 个容易被忽略的事实：

1.Kubernetes 不仅仅适用于最新的应用程序

微服务、无服务器等新的架构风格以及服务网格等技术非常适用于 Kubernetes ，但传统的一体化应用程序同样可以在容器中运行。现在越来越多的应用程序在使用 Kubernetes，例如容器原生虚拟化和 KuberVirt 就支持在 Kubernetes 上虚拟化工作负载。

2.随着公有云服务的发展，Kubernetes 愈发有用

Kubernetes 不仅可以在单个云上运行单个集群，还可以跨多个云运行多个集群。Kubernetes 高级集群管理统一了多集群管理，提供基于策略的治理方案，并拓展了应用程序生命周期管理。

3.Kubernetes 正在成为云端和本地资源的实际计算控制平面

容器可以对服务进行完整打包，解决了开发人员维护环境的问题。同时，开发人员管理 Kubernetes 集群也愈发熟练。我们正迈向一个在 Kubernetes 集群中进行传统基础架构管理的世界。

4.Kubernetes 可以利用 GPU 加速工作负载

Kubernetes 可以利用图形处理单元(GPU)来加快机器学习和人工智能的工作速度。

5.Kubernetes是必需的，但不足以构成一个完整的容器平台

Kubernetes 虽然是容器编排的标准，但也只是容器平台的一部分。在容器调度之外，一个完整的容器平台还需要平台服务、应用程序服务、开发人员服务、集群服务以及操作系统。

6.容器化的工作负载不仅适用于本地应用

许多应用程序已经容器化并且由相应的 Kubernetes Operators 管理其生命周期。与其将容器应用于新的本地应用程序，不如将它们与运行的虚拟化 ISV 应用程序连接到一起。它们可以在一个平台上共同运行。

https://enterprisersproject.com/article/2020/6/kubernetes-birthday-6-facts5安全漏洞：CVE-2020-8555

近日，来自 Groupe Asten 的 Brice Augras 和诺基亚的 Christophe Hauquiert 共同发现了一个 Kubernetes 漏洞，不仅获得了 Kubernetes 社区奖励，还获得了 Azure Cloud Bug 的最高赏金奖励！

该漏洞(CVE-2020-8555)存在于 kube-controller-manager 组件。它源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。远程攻击者可以利用此漏洞进行 SSRF 攻击，从未受保护的端点泄漏获取多达 500 字节的任意信息。

该安全漏洞的攻击前提为：

• kube-apiserver 暴露了非认证本地端口

• 存在其他不受保护的服务被暴露于控制台节点(Master Node)网络下

• 恶意用户在目标集群有创建 Pod 权限并有 StorageClass 的写权限

下列版本均在此 CVE 影响范围：

• kube-controller-manager v1.16.0~v1.16.8

• kube-controller-manager

为了避免受到攻击，安全专家建议开发者通过 PodSecurityPolicy 或第三方工具 Gatekeeper 实施适当的策略，或通过 Kubernetes 访问控制来限制 StorageClass 的写入权限。同时，更新到补丁版本可能是更好的选择，因为现在已经有修复程序。

https://www.cbronline.com/news/kubernetes-bug

6K8s 集群需警惕中间人攻击

近日，Kubernetes 产品安全委员会发布警告，配置了某些容器网络(CNI)的 Kubernetes 集群可能会受到中间人(MITM)攻击。

该漏洞影响运行“default Kubernetes security context”的集群：即以 CAP_NET_RAW 权限运行的工作负载。这个漏洞本身并不是由于 Kubernetes，而是各种 CNI 插件。以下是包含 kubernetes-cni 的官方 kubelet 软件包版本：

• kubelet v1.18.0-v1.18.3
• kubelet v1.17.0-v1.17.6
• kubelet

目前受到影响的包括：

• 0.8.6 版本之前的 CNI
• Calico 和 Calico Enterprise
• 19.03.11版本之前的 Docker
• 2.6.3 版本之前的 Weave Net

该漏洞的 CVSS 的评分是“中等”(6.0)。Kubernetes 产品安全委员会建议将主机默认值设置成拒绝路由器通告，并使用 TLS 和证书验证，同时禁止不可信的工作负载或用户使用 CAP_NET_RAW，以防止攻击。这个漏洞的发现归功于 Etienne Champetier。https://portswigger.net/daily-swig/kubernetes-security-flaw-also-earns-bug-bounty-from-microsoft

推荐阅读：

在看点一下