周一见 | 新安全漏洞、K8s 事故汇总、AWS vs K8s = Linux vs Windows

Kubernetes 资讯

1. 安全漏洞：CVE-2019-1002101

上周，安全研究人员在 kubectl cp（复制）操作中发现了一个安全漏洞， 可用于将文件从容器传输到用户的主机 。 该漏洞不会影响 Kubernetes 系统本身，但危险性不容小觑。

为了从容器中复制文件，Kubernetes 在容器内运行 tar 以创建 tar 存档，然后再通过网络复制存档，用 kubectl 将其在用户的机器上打开。 这时，如果容器中的 tar 二进制文件是恶意的，它可以运行任何代码并输出恶意结果。 当调用 kubectl cp 时，攻击者可以通过它将文件写入用户计算机上的任何路径 。

为了使用这个漏洞，攻击者必须首先将恶意文件放在 Kubernetes 容器中，然后等待 Kubernetes 管理员将这些文件传输到他的系统。 虽然用起来并不简单，但这个漏洞还是非常令人担忧的， 因为它允许攻击者覆盖敏感文件路径或添加恶意程序文件，能被用来潜在地破坏生产环境 。

发现后，该漏洞被追踪为 CVE-2019-11246，它源于今年 3 月披露的漏洞（CVE-2019-1002101）的不完整修复。 修复方法是将 kubectl 和 Kubernetes 升级到 v1.12.9、v1.13.6、v1.14.2 或更高版本 。

此外，Google Cloud 管理员也针对该漏洞发表声明： “所有 Google Kubernetes Engine（GKE）gcloud 版本都受此漏洞影响，我们建议您在 gcloud 可用时升级到最新的补丁版本。 ”

2. K8s 容器最新报告 

近日，裸机容器公司 Diamanti 发布了 2019 年容器使用情况调查报告。报告汇总了 500 多名 IT 领袖的意见， 显示 Kubernetes 和容器正在快速增长 。

报告指出，目前容器技术正迅速成熟。在 2018 年，只有 17％ 的受访者表示 IT 运营团队正在推动容器采用；一年后，这一数字已经跃升至 35％ 以上。在许多组织中，IT 运营部门负责管理 DevOps 团队、开发人员和应用程序所有者的容器。

2019 年，企业在容器技术上的投资也有所增加， 其中 38％ 的企业支出超过 10 万美元，高于 2018 年的 33％。 超过 25％ 的企业投资超过 25 万美元 。

调查作者称，容器进入主流的另一个迹象是用例：“云原生应用程序”和“轻量级无状态应用程序”不再是 IT 团队的唯一关注点——使用率分别下降了 21％ 和 14％，这表明企业现在对更广泛的用例感兴趣。

报告全文：

https://diamanti.com/wp-content/uploads/2019/06/Diamanti_2019_Container_Survey.pdf

3. KubeCon China 2019 成功落幕 

上周，2019 年 KubeCon + CloudNativeCon + Open Source Summit 大会正式在上海落下帷幕。

本届大会为期三天，由 14 场同场活动、8 场快闪演讲、32 场主题演讲、252 场分论坛组成。 大会吸引了包括 Linux 创始人 Linus Torvalds 在内的 324 位演讲嘉宾和超过 3000 名开源精英参会。

不同于今年 5 月在巴塞罗那举行的 KubeCon， 本届大会更侧重于展示近期全球企业的一些先进实践，包括 Linux、IoT、区块链、AI 和网络等 。

在为期三天的演讲中，一些行业领袖用数据和事实分享了自己对行业发展的精辟洞见： C NCF 执行董事 Dan Kohn 在演讲中表示， 中国已经是 Kubernetes 的第二大贡献国 ，目前 CNCF 有超过 10% 的会员来自中国； Cloud Foundry 基金会执行董事 Abby Kearns 分享了一份市场研究数据，显示 66％ 的公司认为社区开源为企业提供了发展机遇 。

对于项目，自 v1.10 发布以来，Kubernetes 已经新增了 110 多个 API，它的热度和影响力是全球性的，会议也重点解读了新发布的 Kubernetes v1.15。

4. Kubernetes 事故汇总 

Kubernetes 是一个相当复杂的系统，随着其生态系统不断发展，对开发者来说，除了系统性地学习相关知识，了解一些真实的开发事故， 从失败的 Kubernetes 案例中汲取经验教训也非常有必要 。

在 GitHub 上，有人汇总了一些“Kubernetes 失败故事”，其中不仅包含开发者本人的经验，也摘录了历届 KubeCon 上知名企业分享的失败案例，如 Spotify 工程师误删用户集群、Datadog 的“使用 Kubernetes 的十大深坑”、Zalando 因 Kubernetes 事故停产十个月……

GitHub：

https://github.com/hjacobs/kubernetes-failure-stories

5. Helm v3.0.0-alpha.1 

Helm 是 Kubernetes 的一个包管理工具，可用于简化 Kubernetes 应用的部署和管理。 近日，开发团队发布了 Helm v3.0.0-alpha.1，这是 Helm 3 的第一个 Alpha 版本。

详情请见 ：

https://github.com/helm/helm/releases/tag/v3.0.0-alpha.1

博文推荐

1. 《AWS vs K8s 是新的 Windows vs Linux》 

如果你已经超过 40 岁，而且在 IT 行业工作，你一定还记得当每个人都在使用 Windows 时，有一小部分人在用他们的业余时间编译 Linux。

那时候 Windows 用户无法理解这一小撮人的行为：“Windows 什么都有，用起来又方便，你们为什么还要浪费生命？”

对于这个问题，答案各不相同。有些人喜欢修补，有些人希望操作系统“免费”，有些人想要更多地控制他们的软件，有些人想要更快的系统…… 无论是什么理由，它们或多或少都解释了开发者行为的合理性 。

正如现在的 AWS 和 Kubernetes。前者（EKS）似乎提供了所有用户想要的功能，而后者对于没有经验的人来说简直是混乱的噩梦。但 Kubernetes 还在不断壮大，并将壮大到能够独立生存……

博文地址：

https://zwischenzugs.com/2019/03/25/aws-vs-k8s-is-the-new-windows-vs-linux/amp/

2.《用 Istio 和 K8s 进行金丝雀部署》 

在引入新版本服务时， 开发者通常需要在逐步淘汰旧版本的过程中慢慢将少数用户流量转移到较新版本的服务 。 这种技术被称为金丝雀部署。

Kubernetes 集群管理员可以利用标签和 Deployment 在本地实现金丝雀部署。 然而，它具有某些限制： 流量分配和复制计数是耦合的，这意味着必须手动控制复制比率以限制金丝雀部署释放的流量 。 换句话说，如果开发者要将 10％ 的流量引导到金丝雀部署，你就要有 10 个 Pod，其中一个 Pod 接收 10％ 的用户流量，另外 9 个接收其余流量。

对于这个问题，开发者可以用 Istio 服务网格进行部署，实现副本计数和流量管理的明确分离。 Istio 允许细粒度的流量控制，支持用户定义流量百分比和目标，而不是手动控制副本比率。

博文地址：

https://www.digitalocean.com/community/tutorials/how-to-do-canary-deployments-with-istio-and-kubernetes

3.《 Kind：用于测试 K8s 的本地集群》 

Kind 是一种使用 Docker 容器作为 node 节点，运行本地 Kubernetes 集群的工具，在 K8s 中有着非常广泛的应用。 在这篇文章中，才云科技工程师 Cat 总结了工作中使用 Kind 的心得，对 Kind 的实现原理和创建集群方式做了全面梳理。

博文地址：

https://mp.weixin.qq.com/s/iE277g9f9VqlnAVQZI-dAw

AI 资讯

1. 吴恩达评 DeepNude 

日前，AI 应用 DeepNude 引发众人声讨，上线仅几小时后就被火速下架。

这是一款女性脱衣 AI 应用，它基于伯克利的开源算法 pix2pix，并使用 1 万张女性裸体照片进行训练。 只要上传女性穿衣服照片，它就能模拟出真实的裸体效果。

下架后，平台给出的下架理由并不是遭到大量抵制，而是因为流量过高。 由于社区抵制情绪激烈，该应用的开发者目前已经放弃用这个 AI 赚钱的想法，称自己的行为只是“闹着玩”，但目前该模型已有备份版在网上流传。

对于这件事，前百度首席科学家、斯坦福大学计算机系副教授吴恩达在 Twitter 发表评论： “我很高兴 DeepNude 死了。 作为一个人和一个父亲， 我认为这是人工智能最令人作呕的应用之一 。 我想对 AI 社区说，你有极大的能力，你构建的东西很重要，请利用你的力量开展推动世界前进的、有价值的项目。 ”

2. 谷歌 Dropout 专利生效 

上周，谷歌宣布其 Dropout 专利生效，有效期 15 年，AI 社区一片哗然。

Dropout 是一种常用的深度学习方法，由 Hinton 于 2012 年提出，可以有效防止过拟合。 三年前，当社区得知谷歌的 Dropout 专利已经获批时，曾引发过一阵恐慌。 三年后的今天，这项专利开始生效，研究人员的激烈抗议已成枉然。

事实上，AI 社区对这项专利的抵制源于这件事本身影响深远。 作为一种基础算法，Dropout 对学术界、工业界有着极其重大的意义，一旦谷歌宣布这种自主核心算法需要付费使用，甚至不再开源，这对整个人工智能行业来说都将是巨大打击 。

尽管很多人表达了消极情绪，但谷歌暂时还没有采取下一步动作。 也许这件事给社区带来的最大警示，就是 AI 的游戏规则即将发生改变，而专利制度正是刺破研究人员舒适区的第一把利剑。

其他