KubeSphere 容器平台 2.1.1 Release Notes

关于 KubeSphere 

KubeSphere® 是经 CNCF 认证的 Kubernetes 主流开源发行版之一,在 Kubernetes 之上提供多种以容器为资源载体的业务功能模块,如多租户管理、集群运维、应用管理、DevOps、微服务治理等功能。 KubeSphere® 初始安装请参考安装部署指南

2.1.1 更新详情

Installer

UPGRADE & ENHANCEMENT

  • 支持 Kubernetes v1.14.x、v1.15.x、v1.16.x、v1.17.3,同时解决 K8s API 兼容性问题 #1829
  • 简化在已有 K8s 上安装的步骤,无需配置集群 CA 证书路径,如不需 etcd 监控数据也无需配置 etcd 证书路径
  • 升级前备份 CoreDNS 配置以便恢复

BUG FIXES

  • 修复安装后应用商店下内置应用导入失败的问题

注意! KubeSphere Installer 将同时升级 Kubernetes 版本(默认 v1.16.7),新版本的 Kubernetes 丢弃了很多旧的 apiversion,升级 Kubernetes 后旧的 apiversion 不再支持,不会影响已部署应用,但新部署的业务要修改 yaml 文件适配新的 apiversion。如果之前服务是通过 Helm 部署,在升级时需要删除旧的 release ,用更新过 apiversion 的 Helm Chart 重新部署至 KubeSphere

应用商店

UPGRADE & ENHANCEMENT

  • OpenPitrix 版本升级至 v0.4.8

BUG FIXES

  • 修复发布的最新版应用版本号显示问题 #1130
  • 修复应用审核列表页面列名错误的问题 #1498
  • 修复无法按名称和企业空间搜索审核中应用的问题 #1497
  • 修复应用删除后无法创建同名应用的问题 #1821 #1564
  • 修复应用商店部署时常常容易失败的问题 #1619 #1730

存储

UPGRADE & ENHANCEMENT

  • 内置支持阿里云和腾讯云存储插件

BUG FIXES

  • 修复存储类型列表页不支持分页的问题 #1583 #1591
  • 修复在创建创建 ceph 存储类型时 imageFeatures 默认显示 2 的问题 #1593
  • 修复存储卷列表中状态查询条件不生效 #1582
  • 修复存储卷异常显示问题 #1581
  • 修复关联已删除的存储类型的存储卷无法正常显示的问题 #1580 #1579

可观察性

UPGRADE & ENHANCEMENT

  • Fluent Bit 版本升级至 v1.3.5 #1505
  • Kube-state-metrics 版本升级至 v1.7.2
  • Elastic Curator 版本升级至 v5.7.6 #517
  • Fluent Bit Operator 支持自动获取宿主机上 Docker 容器日志目录软连接真实路径
  • Fluent Bit Operator 支持声明式配置的方式管理 Fluent Bit 实例(通过修改 Operator ConfigMap)
  • 调整告警列表页面排序方式 #1397
  • 调整容器内存用量指标,使用 container_memory_working_set_bytes

BUG FIXES

  • 修复容器详情页日志延迟问题 #1650
  • 修复多副本工作负载部分副本的容器无日志的问题 #1505
  • 修复 Curator 不兼容 Elasticsearch 7.x #517
  • 修复容器创建过程中,查看容器日志报错的问题 #1518
  • 修复在节点资源调整时,节点监控偶尔出现空节点的问题 #1464
  • 修复监控中心页面组件状态未实时更新的问题 #1858
  • 修复告警详情中,监控目标数量不正确 #61

DevOps

BUG FIXES

  • 修复流水线 UNSTABLE 状态没有展示的问题 #1428
  • 修复 DevOps 流水线中 KubeConfig 格式不对的问题 #1529
  • 修复 B2I 不支持阿里云镜像仓库地址的问题 #1500
  • 修复 DevOps 流水线分支列表分页显示问题 #1517
  • 修复 Jenkinsfile 配置流水线参数导致流水线配置无法展示的问题 #1522
  • 修复 S2I 任务构建生成的制品下载失败的问题 #1547
  • 修复重启 Jenkins 概率性造成数据丢失的问题
  • 修复流水线对接 Github 只能检出 PR-HEAD 的问题 #1780
  • 修复更新 DevOps 凭证 HTTP 414 的问题 #1824
  • 修复 B2I/S2I 生成的 s2ib/s2ir 名称错误的问题 #1840
  • 图形化创建流水线时,无法拖动任务进行排序 #62

认证和权限

UPGRADE & ENHANCEMENT

  • 通过CSR生成客户端证书 #1449

BUG FIXES

  • 修复 KubeConfig 文件证书内容不全的问题 #1529
  • 修复用不同权限用户连续用同一浏览器登录报错的问题 #1600

用户体验

UPGRADE & ENHANCEMENT

  • 创建工作负载时,可配置安全上下文(SecurityContext)#1530
  • 创建工作负载时,可配置 init container #1488
  • 配置探针时,增加支持 startupProbe 类型探针,同时参数增加支持 periodSeconds、successThreshold、failureThreshold 参数 #1487
  • 优化 pod 状态显示 #1187
  • 前端报错提示优化 #43

BUG FIXES

  • 修复未就绪容器组(Pod)状态显示错误的问题 #1187
  • 修复在以 QingCloud 负载均衡器配置服务时,注解(annotation)参数无法删除的问题 #1395
  • 修复创建服务时工作负载选择列表显示的问题 #1596
  • 修复无法编辑定时任务配置文件的问题 #1521
  • 修复无法更新有状态副本集的服务的问题 #1513
  • 修复无法搜索青云、阿里云等镜像仓库中镜像的问题 #1627
  • 修复相同创建时间的资源排序混乱的问题 #1750
  • 修复服务详情无法编辑配置文件问题 #41

Harbor 镜像仓库升级至 1.9.3,新增镜像安全扫描功能并完成多项修复

Harbor 镜像仓库 发布新版 Harbor 1.9.3 – QingCloud 1.5.0,升级到 Harbor 稳定版 1.9.3 ,新增镜像安全扫描功能并完成多项修复,详情参考官方release notes

Harbor 是一个开源的企业级私有 Docker 镜像仓库方案,用于存储和分发 Docker 镜像,并提供基于角色的权限控制、仓库间 Image 异步复制、LDAP/AD 支持、图形界面等功能。 Harbor 镜像仓库 on QingCloud 将 Harbor 制作成了 App,能直接在 AppCenter 进行一键部署,并提供了一个高可用、高安全、高性能的解决方案,具有如下特性:

  • 镜像存储集成 QingStor 对象存储以及 QingStor NeonSAN(Server SAN) —— 由青云 QingCloud 提供,具有安全可靠、简单易用、高性能特点
  • 镜像存储可对接第三方 S3 对象存储
  • 支持应用节点横向和纵向伸缩
  • 高可用
  • 一键部署

新版主要更新如下:

  • 升级到 Harbor 1.9.3
  • 新增镜像安全扫描功能
  • 优化日志节点磁盘占用
  • 修复镜像复制失败的问题
  • 新增支持通过浏览器自助查看日志等文件

升级请参考用户手册

Anybox 1.6.0 Release Notes——导入用户及Office/WPS插件等多项功能全新升级

 

为更好的满足企业内文档协作和系统成员管理需求,本次ANYBOX 内容协作平台V1.6.0的升级版本包含:

 [新增特性]

1. 新增客户端内网下载方式,对内网部署的企业可以在局域网内下载客户端;

2. 新增部门管理员设置功能,可以指定部门内的成员为部门管理员来管理此部门;

3. 新增部门配置设置功能,可以根据部门批量设置部门内成员的ANYBOX配置信息;

4. 新增导入成员功能,可以通过表格批量导入用户;

5. Windows客户端新增“Office/WPS插件功能模块,可以对Office/WPS编辑的文档实现不落地,快速保存至云端;

 

6. 新增客户端在线预览功能,可以通过客户端在线预览文档;

7. Android/IOS客户端新增共享权限管理功能模块,让用户可以在移动端上也能管理文件的共享权限;

 

[改进功能]

1. 文档在线预览改用OnlyOffice提供服务,让文档预览效果更佳;

2. 优化文件上传功能,可以对已存储的文件再次上传实现秒传;

3. 优化用户状态类型,用户状态分为:未激活、正常、锁定、禁用四种状态;

4. 优化成员列表展示,让管理员可以直观查看用户所在部门、使用空间和状态等信息;

[问题修复】

1. 修复LDAP不能手动同步的问题;

2. 修复Windows客户端同步策略与文件上传/下载操作队列冲突,上传大文件阻塞小文件上传的问题;

3. 修复IOS兼容IOS13搜索崩溃的问题;

4. 修复Android客户端文件预览下载进度显示问题;

 

QingCloud MySQL Plus支持在配置参数页面修改密码强度规则等功能

MySQL Plus 为了提高安全性和用户体验,在 1.5.5 版本中,新增了多项服务,并修复了若干bug。同时提供标准版和对企业级分布式 SAN—NeonSAN 支持的两种版本,具体新增功能如下: MySQL Plus立即使用→

1. 支持在配置参数页面修改密码强度规则。

2. 新增自动订正运维账号功能。

3. 新增添加账号和在线迁移失败时报错信息在页面抛出功能。

4. 新增主节点只读状态的自动检测和订正功能。

5. 优化集群扩容流程并缩小主丢失时间窗口。

6. 修复某些情况下读 VIP 分发不均衡的问题。

7. 修复从 1.4.2 及更早版本升级后可能出现服务异常的问题。

8. 修复极少情况下读 VIP 误判脑裂导致服务异常的问题。

9. 修复某些情况下启动集群失败后无法自动拉起服务的问题。

10. 开放 innodb_flush_method 和 innodb_use_native_aio 参数。

青云QingCloud 统一运维平台 4.4 新版发布,网络探测及物理机管理等多项功能面世

关于 青云QingCloud 统一运维平台

青云QingCloud 统一运维平台是云平台的管理端,它既能监控云平台整体运行情况,也能帮助运维人员和管理者进行高效管理,提供多种业务功能模块,如系统总览,计算大屏,网络大屏,基础设施管理、资源管理、运维管理、云用户管理等功能。

4.4 更新详情列表

看板

FEATURES

      • 网络大屏,对网络总体情况的监控拓扑,支持VPC和基础网络,可以查看网络不通/丢包/延迟情况,可以查看网络相关IP,流量,负载均衡器等组件统计情况
      • 物理机总览,物理主机活跃状况以及各个维度下的统计信息查看
      • 用户总览,云用户活跃率以及各个维度下的排行信息查看

物理主机

FEATURES

      • 支持纳管用户已有业务运行的物理主机
      • 支持管理员分配物理主机给租户
      • 支持创建物理主机时支持指定启动盘和网卡绑定模式等参数
      • 支持物理机类型基础网络创建
      • 支持物理主机和物理主机类型的基础网络关联交换机
      • 支持对物理主机打标签并提供标签统计
      • 主机类型,新增主机类型并对价格进行管理

 

其它

UPGRADE & ENHANCEMENT

      • 定时器,支持定时批量迁移主机
      • 支持SANC模式下的监控告警
      • 报表支持防火墙规则导出
      • 支持日报增加BM统计
      • 云主机等资源导出时增加标签和所属项目的字段
      • 网络大屏监控可配置,可以选择展示客户关注的网络
      • 新增标签功能,支持创建修改,绑定/解绑标签到物理主机
      • 增加二次认证,支持邮件找回账号
      • 提供的统一登录中间件,实现免输入密码的登录

 

Anybox 1.5.1 Release Notes——个人工作台及Windows/Mac 客户端等多项功能全新升级

 

为更好的满足企业内不同部门和人员之间基于文档办公的协作需求,本次ANYBOX 内容协作平台V1.5.1的升级版本包含:

 

 [新增特性]

1. 新增“我的工作台”模块是对个人日常文件操作与管理的集中展示;

2. 新增“工作空间”模块展示授权给“我有管理权限的工作文件存储空间目录;

3. 新增“共享给我”模块展示共享给“我”有使用权限的工作文件存储空间目录;

4. 重构windows同步盘客户端:提供文件同步机制,确保数据在本地与云端实时互通;

5. 新增Mac客户端:让mac电脑用户也能使用本地与云端实时互通的办公方式;

[改进功能]

1. 优化生成外链功能,让用户更快速创建外链;

2. 优化回收站功能,确保我删除的文件我能再次处理;

[问题修复

1. 修复LDAP不能获取组织和部门的问题;

2. 修复外链文件被删除后,访问错误的问题;

3. 修复回收站还原错误问题;

4. 修复由新增workspace模块引起的其他功能错误问题;

 

防火墙规则定时启用/禁用

对于云上业务系统运维人员来说,配置管理一直是一个较为头疼的问题。由于云计算给系统运维带来的敏捷性,配置变更几乎每时每刻都在发生,如何记录这些配置变更,并能够做到少出错、不遗忘,是一个较大的难题。

场景一:有时为了调试云上的业务系统,需要临时放开防火墙规则的限制,在问题调试完成后,再将临时启用的规则禁用。有时候防火墙的管理者和业务系统的调试者并不是同一个人,这就存在着防火墙临时规则管理的漏洞,往往调试已经完成,但是忘记通知防火墙的管理者,而防火墙的管理者也不记得该条规则为什么开放,该条临时规则就会变成一直开放的规则,将业务系统暴露于风险之下。

为了应对上述场景,我们推出了防火墙规则定时启用/禁用的功能,您可以在定时器中管理防火墙的规则,实现“临时启用规则,定时禁用规则”的效果。

首先,创建一个定时器,仅执行一次,时间设置为防火墙规则的禁用时间。

然后,创建定时器任务,选择防火墙,并选择要禁用的规则。

最后,点击“提交”,查看创建好的任务。

只需这么简单的几步操作,防火墙的管理者就可以放心的将临时规则启用,不用再担心自己会忘记将临时规则禁用了。

场景二:有一个业务系统需要每天凌晨3点定时上报业务数据,该上报数据服务采用固定的端口,数据上报批量大约需运行1个多小时,在非上报数据时间,该上报数据端口需要关闭以保证服务安全。您只需要设置两个定时器,无需闹钟与熬夜即可轻松完成该项工作。

每天凌晨3点,启用数据上报端口。

每天凌晨5点,再将数据上报端口禁用。

本功能还有诸多场景等待您的挖掘!

新增防火墙规则导出导入功能

QingCloud 防火墙可以加强位于基础网络中的主机或路由器的安全性,您可以为防火墙添加上行/下行规则,以实现云上资源的访问安全。QingCloud 防火墙因为简单易用、功能强大灵活,一直以来是云上使用最为广泛的产品之一。为了方便您管理防火墙规则,QingCloud 防火墙具备跨区复制、规则备份/回滚、规则模板、IP/端口集合等功能,可以适应多种场景下的防火墙规则管理。近期,防火墙又迎来了一次功能升级,新增了防火墙规则的导入导出功能,您可以将一个帐号下的防火墙规则导出,再导入到您另一个帐号里的防火墙里,实现防火墙规则的跨帐号快速复制。

具体的操作流程如下:

1、在要导出的防火墙规则页面点击“更多操作”,在下拉菜单中点击“导出规则”

2、页面会自动下载包含有防火墙规则的 csv 文件,以 防火墙名称_(防火墙ID).csv 命名。

3、在另外要导入规则的防火墙规则页面点击“导入规则”

4、在弹出的导入规则对话框中,点击“上传文件”,选择包含有防火墙规则的 csv 文件

系统会识别 csv 文件中防火墙规则的条数,并与当前防火墙的规则进行比对检查。

5、对于不符合导入规范的规则,您可以点击“查看”进行检查

点击规则前的小问号,可以查看该条规则不符合的原因。

6、确认无误后,点击“继续导入”,将防火墙规则导入。原有的IP/端口集合,会自动创建新的IP/端口集合,并添加到防火墙规则上

7、导入后,点击“应用修改”,将防火墙规则应用到资源

请注意:规则导入为非覆盖式导入,与现有规则冲突或者重复的规则将不会导入成功,超出数量或不符合 [格式要求] 的规则将被舍弃。数字越小优先级越高,优先级取值范围 [1-100]。

【安全公告】远程桌面服务远程执行代码漏洞(CVE-2019-0708)

     微软官方发布紧急安全补丁,修复了 Windows 远程桌面服务的远程代码执行高危漏洞 CVE-2019-0708,该漏洞被称为“永恒之蓝”级别的漏洞,只要开启Windows远程桌面服务(RDP服务)即可被攻击。

漏洞描述:
     远程桌面协议(RDP)远程代码执行漏洞。未经身份验证的攻击者利用该漏洞,向目标Windows主机发送恶意构造请求,可以在目标系统上执行任意代码。由于该漏洞存在于RDP协议的预身份验证阶段,因此漏洞利用无需进行用户交互操作。该漏洞存在被不法分子利用进行蠕虫攻击的可能。

漏洞评级:
CVE-2019-0708   【高危】

影响范围:
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows XP SP3 x86
Windows XP Professional x64 Edition SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64 Edition SP2
Windows 8和Windows 10及之后版本的用户不受此漏洞影响。

判断是否已经被入侵:
1. Win+R 快捷键运行 eventvwr.exe 然后回车。
2. 查看windows日志–>安全:浏览日志产生时间,观察是否存在大量或者非法的与登录相关的事件,如果已经被入侵,则系统可能遭到破坏被装上木马,建议重装系统。

检测以及修复漏洞:
可以选用360一键检测修复工具:
A.下载并打开360一键检测修复工具:
http://dl.360safe.com/leakfixer/360SysVulTerminator.exe
B.离线安装补丁:
操作系统版本及补丁下载链接:
Windows 7 x86:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows 7 x64:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Embedded Standard 7 for x64:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Embedded Standard 7 for x86:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows Server 2008 x64:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows Server 2008 Itanium:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu
Windows Server 2008 x86:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu
Windows Server 2008 R2 Itanium:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu
Windows Server 2008 R2 x64:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Server 2003 x86:
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe
Windows Server 2003 x64:
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe
Windows XP SP3:
http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe
Windows XP SP2 for x64:
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe
Windows XP SP3 for XPe:
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe
WES09 and POSReady 2009:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/04/windowsxp-kb4500331-x86-embedded-chs_e3fceca22313ca5cdda811f49a606a6632b51c1c.exe

参考资料:
https://cert.360.cn/warning/detail?id=0f64023e053a5753816ac129b5362607

青云QingCloud安全监控中心