Расскажем об изменениях, которые появились в новом стабильном релизе нашей K8s-платформы Deckhouse — v1.29.0.
Важные изменения
Обновленная — безопасная — версия Grafana. В начале декабря стало известно, что у Grafana есть критическая уязвимость нулевого дня (CVE-2021-43798). С ее помощью можно организовать атаку типа обход каталога и получить доступ к локальным файлам. Уязвимость была актуальна для всех версий Grafana, начиная с v8.0.0-beta1 и новее. Патч выпустили через сутки после того, как стало известно об уязвимости. Теперь в Deckhouse используется защищенная версия Grafana v8.2.7.
Отказ от поддержки alpha-версий cert-manager в связи с требованиями по переходу на новый релиз v1.6.1. Изменение касается только нового cert-manager; для старого cert-manager 0.10.1 (certmanager.k8s.io) пока все остается как есть. Сам cert-manager обновился с v1.5.4 до v1.6.1. В новой версии исправлены некоторые баги и улучшено логирование ошибок.
Другие улучшения
Функции, которые появились в отдельных компонентах и модулях:
log-shipper — поддержка потоков данных Elasticsearch (data streams) для хранения логов и метрик. Потоки данных позволяют хранить данные типа append-only («только добавляемые») по нескольким индексам и предоставляют единый именованный ресурс для запросов. Data streams удобны для сбора логов, событий, метрик и других постоянно генерируемых данных. Функция поддерживается в Elasticsearch v7.16+;
node-manager — добавлено принудительное удаление Pod’ов с узла в ситуации, когда узел запрашивает ломающее обновление, но
PodDisruptionBudgetпрепятствует выселению Pod’ов;secret-copier — реализована логика Create Or Update для управления секретами. Также добавлена поддержка label-селектора, чтобы копировать секреты только в определенные пространства имен;
ingress-nginx — появилась возможность устанавливать SSL-сертификат по умолчанию. Для этого в конфигурации IngressNginxController добавлено поле
.spec.defaultSSLCertificate.secretRef. Опция избавляет от необходимости задавать имя секрета в объекте Ingress.
В документации появилась инструкция по использованию Harbor в качестве стороннего container registry, информация о лимите в Dex для защиты от перебора паролей и о слиянии нескольких cluster authorization rules для одного пользователя, а также проведен рефакторинг вывода OpenAPI-спецификаций.
Полный список изменений, представленных в Deckhouse v1.29.0, опубликован в changelog’е. В следующем релизе (v1.30), в частности, ожидается появление поддержки Kubernetes версии 1.22.
P.S.
Для знакомства с Kubernetes-платформой Deckhouse рекомендуем раздел «Быстрый старт» (на русском и английском языках).
Полезные ссылки на ресурсы проекта:
официальный Twitter-аккаунт (на английском);
Читайте также в нашем блоге:
