K8S 生态周报| Istio 已修复导致 Pod 崩溃的 bug

最新推荐文章于 2022-06-28 09:51:47 发布
最新推荐文章于 2022-06-28 09:51:47 发布
阅读量216 收藏
点赞数
文章标签: kubernetes docker html css java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tao12345666333/article/details/107777335
版权

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」。

Istio 1.6.7 发布

Istio 1.6.7 是为了解决在 1.6.6 中引入的一个 bug[1]

该 bug 可能会导致 在使用 Istio 1.6.6 时,某些 Pod 进入 CrashLoopBackOff 状态,无法正常提供服务。

修复后的核心代码如下,这里主要是增加另一个返回值 expectpod

通过此方法获取 Pod 时,Pod 有两种情况可能为空:

  • 该 endpoint 未关联 Pod,这时 expectpod 为 false

  • 该 endpoint 已关联 Pod,但未找到 Pod,这时 expectpod 为 true

而这种情况发生的最主要原因可能是由于最终一致性,或者乱序事件等。

建议如果打算升级 Istio 的读者,直接跳过 1.6.6 版本,以免影响到服务。

func getPod(c *Controller, ip string, ep *metav1.ObjectMeta, targetRef *v1.ObjectReference, host host.Name) (rpod *v1.Pod, expectPod bool) {
  pod := c.pods.getPodByIP(ip)
  if pod != nil {
    return pod, false
  }
  if targetRef != nil && targetRef.Kind == "Pod" {
    key := kube.KeyFunc(targetRef.Name, targetRef.Namespace)
    podFromInformer, f, err := c.pods.informer.GetStore().GetByKey(key)
    if err != nil || !f {
      log.Debugf("Endpoint without pod %s %s.%s error: %v", ip, ep.Name, ep.Namespace, err)
      endpointsWithNoPods.Increment()
      if c.metrics != nil {
        c.metrics.AddMetric(model.EndpointNoPod, string(host), nil, ip)
      }


      epkey := kube.KeyFunc(ep.Name, ep.Namespace)
      c.pods.queueEndpointEventOnPodArrival(epkey, ip)
      return nil, true
    }
    pod = podFromInformer.(*v1.Pod)
  }
  return pod, false
}

Trivy v0.10.1 发布

本周 Trivy 相继发布了 v0.10.0 和 v0.10.1 版本,我们一起来看看有哪些值得关注的内容吧:

  • #559[2]允许通过使用 --severity 选项进行过滤,只查看特定级别的漏洞信息

(MoeLove) ➜  ~ trivy i --severity LOW  alpine:3.10.2   


alpine:3.10.2 (alpine 3.10.2)
=============================
Total: 1 (LOW: 1)


+---------+------------------+----------+-------------------+---------------+--------------------------------+
| LIBRARY | VULNERABILITY ID | SEVERITY | INSTALLED VERSION | FIXED VERSION |             TITLE              |
+---------+------------------+----------+-------------------+---------------+--------------------------------+
| openssl | CVE-2019-1547    | LOW      | 1.1.1c-r0         | 1.1.1d-r0     | openssl: side-channel weak     |
|         |                  |          |                   |               | encryption vulnerability       |
+---------+------------------+----------+-------------------+---------------+--------------------------------+

  • #562[3]支持通过 Open Policy Agent (OPA) 来进行过滤。

比方说,我们想要实现和上面使用 --severity LOW 参数相同的效果,那我们可以定义如下 rego 规则文件。注意:包名必须为 trivy ,同时,它还必须包含一个名为 ignore 的规则。

(MoeLove) ➜  ~ cat test_trivy.rego 
package trivy


ignore {
    input.Severity == {"UNKNOWN",  "MEDIUM", "HIGH", "CRITICAL"}[_]
}

通过给 trivy 传递 --ignore-policy 参数即可。(这里一定要注意搞清楚逻辑, trivy 的参数为忽略掉匹配成功的规则。)

(MoeLove) ➜  ~ trivy image  --ignore-policy test_trivy.rego  alpine:3.10.2




alpine:3.10.2 (alpine 3.10.2)
=============================
Total: 1 (UNKNOWN: 0, LOW: 1, MEDIUM: 0, HIGH: 0, CRITICAL: 0)


+---------+------------------+----------+-------------------+---------------+--------------------------------+
| LIBRARY | VULNERABILITY ID | SEVERITY | INSTALLED VERSION | FIXED VERSION |             TITLE              |
+---------+------------------+----------+-------------------+---------------+--------------------------------+
| openssl | CVE-2019-1547    | LOW      | 1.1.1c-r0         | 1.1.1d-r0     | openssl: side-channel weak     |
|         |                  |          |                   |               | encryption vulnerability       |
+---------+------------------+----------+-------------------+---------------+--------------------------------+

  • #561[4]在输出内容中新增加了 CweIDs 字段。

(MoeLove) ➜  ~ trivy image -f json  --ignore-policy test_trivy.rego  alpine:3.10.2
[
  {
    "Target": "alpine:3.10.2 (alpine 3.10.2)",
    "Type": "alpine",
    "Vulnerabilities": 
      {
        "VulnerabilityID": "CVE-2019-1547",
        "PkgName": "openssl",
        "InstalledVersion": "1.1.1c-r0",
        "FixedVersion": "1.1.1d-r0",
        "CweIDs": [
          "CWE-311"
      ],
      ...
    }
  }
]

  • #574[5] 增加了 --list-all-pkgs 选项,允许输出被扫描系统中已经安装的包及其版本等。

而后续发布的 v0.10.1 版本主要是为了修正 v0.10.0 中对 Dockerfile 中执行用户的修改,继续使用 root 用户作为容器镜像中的默认用户

更多关于此版本的信息,请查看 Trivy ReleaseNote[6], 欢迎下载使用。

上游进展

  • #93248[7] 修改了 Kubelet 中 CFS shares 相关的逻辑,为其设置最大值为内核允许的最大值,即 2^18=262144 。

通过此次修改,Kubelet 使用 systemd 作为 cgroups 驱动时,能正常的处理 CPU 核数大于 512 的机器(如果使用 cgroupfs 作为 cgroup 驱动的话,一直都可以,因为内核会直接进行处理)

有关 Linux 内核 CFS 相关内容,可以参考我之前写的文章 Docker 容器资源管理[8]

欢迎订阅我的文章公众号【MoeLove】

TheMoeLove

参考资料

[1]

Istio 1.6.6 中引入的 bug: https://github.com/istio/istio/commit/bae28dde42cf54e213d4c6bcd9c930f8d9ee60c4

[2]

#559: https://github.com/aquasecurity/trivy/pull/559

[3]

#562: https://github.com/aquasecurity/trivy/pull/562

[4]

#561: https://github.com/aquasecurity/trivy/pull/561

[5]

#574: https://github.com/aquasecurity/trivy/pull/574

[6]

Trivy ReleaseNote: https://github.com/aquasecurity/trivy/releases/tag/v0.10.1

[7]

#93248: https://github.com/kubernetes/kubernetes/pull/93248

[8]

Docker 容器资源管理: https://gitbook.cn/gitchat/column/5d70cfdc4dc213091bfca46f

张晋涛-MoeLove
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
k8s环境Istio应用详解
03-21
内容主要包含了k8s环境下istio的安装教程,以及istio相关案例。同时包含灰度发布以及流量治理等相关内容
k8spod监控看板
12-15
k8spod监控看板
CVE-2019-11477漏洞详解详玩
Netfilter
08-20 8817
几天前,为了备注,2019年的6月17号吧,一个Linux/FreeBSD系统的漏洞爆出,就是CVE-2019-11477,Netflix的公告为: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md Redhat的链接为: https://access.redha...
Istio 自动注入 sidecar 不成功及k8s安装istiopod无法创建解决方案
学亮编程手记
05-26 2716
环境 Kubernetes v1.15.6 源码安装 Istio v1.2.5 Helm 安装 Istio v1.2.5 Helm 安装 Istio Helm安装 问题 安装完后,做官方 bookinfo 实验 kubectl apply -f samples/bookinfo/platform/kube/bookinfo.yaml 出现 sidecar 自动注入不成功。 解决方法 第一种可能: 安装 Istio 时,配置了 enableNamespacesByDefault: false si
创建pod时如何在pod里引用本身的IP地址
weixin_45081220的博客
06-28 814
如果pod所用镜像里的程序要求指定自己的IP才能正常运行的话,那么在pod还没有创建出来之前都没有IP,那么该如何在pod的yaml文件里指定自己的IP?这里可以在env.valueFrom里通过fileldRef.fieldPath来引用,看下面的例子。 这里创建了一个名字为pod1的pod,里面定义了三个变量:当然了有人说我怎么知道fieldRef后面的值,可以随便创建一个pod然后通过kubectl get pods pod名 -o yaml 进行查看。创建pod并测试: 这里pod的IP是10.24
istio功能介绍(二.Istio使用说明)
sgs的博客
12-15 3995
文章目录 基本原理 istio与服务治理 关于微服务 服务治理的三种形态 第1种:在应用程序中包含治理逻辑 第2种:治理逻辑独立的代码 第3种:治理逻辑独立的进程 Istiokubernetes Istio的工作机制 Istio的重要组件 Istio-pilot istio-Mixer istio-citadel
CVE-2019-11477漏洞详解详玩(删)
Netfilter
06-28 6255
几天前,为了备注,2019年的6月17号吧,一个Linux/FreeBSD系统的漏洞爆出,就是CVE-2019-11477,Netflix的公告为: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md Redhat的链接为: https://access.redha...
istio架构与k8s中的部署服务实战-视频教程网盘链接提取码下载.txt
10-17
本课程将深入介绍Istio架构及其在Kubernetes中的部署和服务实战。学员将了解如何使用Istio来管理流量、提供服务发现、实现负载均衡,并掌握Istio的安全特性和监控能力。通过实践项目,学员将学会在Kubernetes集群中...
Istio K8S Service
06-15
Istio内部是使用了K8S的,但为了细粒度的进行日志管理和流量控制,K8S Service自身都无法满足设计要求。于是,Istio只是通过K8S API收集了Service信息便自己接管了后续的工作,流量转发控制权交给了由C++开发的Envoy...
k8s概述及申威k8s生态构建.pptx
08-03
k8s概述及申威k8s生态构建.pptx
istio-1.6.7-win.zip
08-03
istio-1.6.7-win.zip
转载——CVE-2019-0807
mmmsss987的博客
06-03 1354
译文声明 本文是翻译文章,文章原作者mcafee,文章来源:securingtomorrow.mcafee.com 原文地址:https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability...
CVE-2019-0708 利用
weixin_30814319的博客
09-03 381
MS_T120 转载于:https://www.cnblogs.com/amaza/p/11452246.html
部署的pod处于CrashLoopBackOff状态
翟海飞
03-01 11万+
1 问题描述使用命令kubectl create -f myubuntu_deploy.yaml --record生成pod,结果显示pod处于CrashLoopBackOff状态。CrashLoopBackOff 告诉我们,Kubernetes 正在尽力启动这个 Pod,但是一个或多个容器已经挂了,或者正被删除。This is what I keep getting:[root@centos-m...
kubernetes启动Pod遇到CrashLoopBackOff的解决思路
热门推荐
纵横四海的博客
01-29 13万+
1.问题现状 通过命令行工具kubectl 获取异常容器 [root@master ~]# kubectl get pods -n kube-system | grep -v Running NAME READY STATUS RESTARTS AGE prometheus-tim
istio init CrashLoopBackOff解决方法
闹着玩儿的博客
12-27 4074
学习istio途中,按照官网提供的例子,创建一个bookinfo项目,当执行完成kubectl apply -f bookinfo.yaml之后发现启动失败 [root@k8s-master kube]# kubectl get pod NAME READY STATUS RESTARTS AGE details-v1-79f774bdb9-sgfk5 0/...
源码解析:Kubernetes 创建 Pod 时,背后发生了什么
Docker的专栏
06-06 431
本文试图回答以下问题:敲下kubectl run nginx --image=nginx --replicas=3命令后,Kubernetes 中发生了哪些事情?要弄清楚这个问题,我...
k8s pod异常与故障排查及问题思路
砚墨
06-09 6372
通常情况下pod发生问题时首先收集一下错误 kubectl get pod <pod-name> -o yaml 查看 Pod 的配置是否正确 kubectl describe pod <pod-name> 查看 Pod 的事件 kubectl logs <pod-name> [-c <container-name>] 查看容器日志 Pod Pending 状态 如果一个 Pod 处于 Pending 状态,表示 Pod 没有被调度到节点上。通常这是因为某种
crashloopbackoff pod 状态
kevin_loving的博客
08-02 2845
OOMKilled  
k8s部署istio
最新发布
01-24
以下是在k8s集群环境下部署istio的步骤: 1. 下载istio的部署包: ```shell wget https://github.com/istio/istio/releases/download/1.6.7/istio-1.6.7-linux-amd64.tar.gz ``` 2. 解压部署包: ```shell tar -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张晋涛-MoeLove

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值