【安全公告】Linux 内核 TCP SACK 漏洞风险通告

近日,业内发布安全公告,Linux 内核在处理 TCP SACK(Selective Acknowledgement)时存在三个漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479),攻击者可通过该漏洞远程发送攻击包造成拒绝服务攻击,影响程度严重。

影响范围:
该漏洞目前已知影响使用 Linux 内核 2.6.29 及以上版本的发行版,包括(但不限于)如下系统:
CentOS 5/CentOS 6/CentOS 7
Ubuntu 16.04 LTS/Ubuntu 18.04 LTS
Debian jessie/stretch/buster

修复办法:
1. 禁用 TCP SACK 及 mtu_probing 机制功能,执行如下命令:
echo 0 > /proc/sys/net/ipv4/tcp_sack
sysctl -w net.ipv4.tcp_sack=0
echo 0 > /proc/sys/net/ipv4/tcp_mtu_probing
sysctl net.ipv4.tcp_mtu_probing
iptables -A INPUT -p tcp -m tcpmss –mss 1:500 -j DROP

2. 升级 Linux 安全补丁(需要重启服务器)
Centos:yum update kernel
Ubuntu:apt-get update && sudo apt-get install linux-image-generic

注意:
以上修复方式,请在操作前评估对业务可用性的影响

参考资料:
[Netflix 通告] (https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md)
[RedHat 通告] (https://access.redhat.com/security/vulnerabilities/tcpsack)
[Canonical 通告] (https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SACKPanic)

KubeSphere®️(QKE) – Kubernetes 管理服务正式上线

一、KubeSphere®️(QKE) 概述

KubeSphere®️(QKE),即 QingCloud Kubernetes Engine,通过 QingCloud AppCenter 将KubeSphere®️ 诸多容器管理功能一键交付给终端用户,如 多租户管理、DevOps、微服务治理、多租户日志检索、Kubernetes 监控中心等,同时省去了用户构建 Kuberentes 集群以及安装 KubeSphere 的过程,极大降低了运维成本并将容器上层业务功能快速带进客户真实业务场景。

QKE 详细用户手册参考


二、核心功能

一键交付的高可用 Kubernetes 集群
通过青云管理控制台仅需简单几步就可以拥有生产级可用的 Kubernetes 集群

打通云平台的存储和负载均衡服务
基于 Kubernetes 标准插件机制,用户无需关心存储和负载均衡器底层资源调度,均可在 KubeSphere 控制台上快速使用相应的服务

对接 QingCloud 块存储:

对接 QingCloud LoadBalancer:

可选的外置 etcd 和 ES 服务带来更灵活更稳定的服务
可选择依赖外部的 etcd 集群和 ELK 服务,为 Kubernetes 集群带来更强大的支撑能力,同时可以使用外置服务各种附加能力,如 etcd app 的备份和恢复、ELK app 的冷-温-热存储等

etcd 的备份及恢复:

ELK 冷热存储:

基于 KubeSphere 高级版为用户带来企业级容器服务体验
QKE 集群创建好之后可以通过快速链接打开 KubeSphere 控制台,以极低学习成本和良好的用户体验,为用户带来多种构建在 Kubernetes 之上的功能,具体可参考 KubeSphere 官方网站

KubeSphere® 容器管理平台高级版 2.0.1 Release Notes

关于 KubeSphere® 高级版

KubeSphere® 共提社区版易捷版以及高级版三个版本,其中社区版和易捷版主要提供多租户管理、集群运维、应用管理等功能,而高级版主要针对企业用户,目的是满足企业内不同角色用户、提供多种以容器为资源载体的的业务功能模块。 KubeSphere® 高级版 初始安装请参考安装部署指南

高级版 2.0.1 更新详情列表

BUG FIXES
  • 修复 CI/CD 流水线无法正确识别代码分支名中含有特殊字符的问题
  • 修复 CI/CD 流水线在部分情况下无法查看日志的问题
  • 修复日志查询时,因索引文档分片异常造成的无日志数据输出的问题,并增加对异常的提示
  • 修复无日志情况下搜索日志,提示异常的问题
  • 修复流量治理拓扑图线条重叠的问题 修复镜像策略应用无效的问题

Release Notes 参考链接

 

MongoDB 升级至 4.0.3 版本并支持超大容量 NeonSAN 型存储

MongoDB 是一个开源的文档型数据库,具有高性能、高可用等优点。MongoDB on QingCloud 提供的是原生 MongoDB Replication 云服务,提供冗余并增加了数据的高可用性。此次升级包含内容如下:

  • 采用 MongoDB 4.0.3 版本构建
  • 基于 WiredTiger 引擎
  • 默认三个节点,最大支持七个节点
  • 支持集群节点的横向伸缩和纵向扩容
  • 支持数据备份– 支持版本升级
  • 支持 NeonSAN 型存储,单盘最高可达 50 TB
  • 修改 FTP 服务为 Caddy 服务,支持用户名和密码
  • 添加配置参数项

MongoDB on QingCloud:立即使用→

更多详细使用指南请参考:MongoDB 用户指南

QingMR 支持NeonSAN、支持 BigDL深度学习框架

青云 QingCloud 大数据相关服务将会统一在 QingMR 下。 QingMR 目前已经集成了:分布式文件系统 HDFS、集群资源管理系统 YARN、数据处理框架 Hadoop MapReduceSpark、数据仓库工具 Hive 、极速海量数据 OLAP 分析引擎 Kylin,为更好的满足用户对大数据产品更多的需求,本次对核心组件进行了版本升级,新增对基于 Spark 的分布式深度学习框架 BigDL 的支持,具体更新如下::

QingMR 2.0 – Core立即使用→

  • Hadoop 版本升级到 2.9.2 ;
  • Spark 版本升级到 2.2.3 ;
  • Hive 版本升级到 2.3.5 ;
  • 新增 Hadoop, Spark 和 Hive 对 lzo 压缩的支持;
  • 新增对基于 Spark 的分布式深度学习框架 BigDL 的支持;
  • 新增 NeonSAN 超高性能大容量存储的支持,单节点最高容量可达 50 TB。
  • 新增 Spark 作为 Hive 的默认执行引擎即 Hive on Spark,同时支持用户切换到传统的 MapReduce 引擎。
  • 新增多个 Hive 调优配置参数。
  • 新增 Hive 通过 beeline 执行 HQL 使用指南。
  • 新增 HiveServer2 WEB UI 使用指南。

RabbitMQ on QingCloud 支持 Region 多可用区部署

为帮助用户便捷地构建高可用的业务架构,青云对 AppCenter上 RabbitMQ 进行了升级,用户可以在 Region 内实现跨可用区部署,实现系统架构的多可用区部署,构建多活及灾备业务架构。本次更新包括如下:

RabbitMQ on QingCloud:立即使用→
  • 新增 Region 跨区部署功能,实现同城多活,增强业务容灾能力;
  • 修复 VIP 偶尔丢失的问题;

PostgreSQL V1.0.10版本 Release Notes

PostgreSQL立即使用→)为了提高产品稳定性,同时增强用户体验,在 V1.0.10 版本中,修复了之前版本的一些bug,并新增了多项服务,具体情况如下:

PG9.6-高可用版-V1.0.10

  • 磁盘扩容最大支持2T

  • 增加zh_CN.UTF-8支持
  • 支持TimescaleDB
  • 修复从备份恢复集群从库启动失败问题
  • 增强自动化运维能力
  • 支持wal2json插件

PG10-高可用版-V1.0.10

  • 增强自动化运维能力
  • 支持wal2json插件

私有网络Vxnet支持ACL进出流量控制

网络访问控制功能包括网络 ACL 和基础网络安全策略。网络 ACL 是私有网络(Vxnet)的进出流量控制表,您可以在这里创建和配置 ACL 规则, ACL 规则中声明了哪些流量可以进/出私有网络(Vxnet),所以可以通过 ACL 控制进出流量。基础网络安全策略则定义了在青云 QingCloud 环境中,用户自身的基础网络是否对其他用户开放,默认禁用也就是默认用户的基础网络内的资源只受防火墙限制。

网络 ACL 与防火墙的功能类似,但是网络 ACL 绑定给私有网络,防火墙一般直接绑定给主机或者负载均衡器,网络 ACL 中更适合配置私有网络 Vxnet 通用的安全规则。

创建和配置网络 ACL

点击`安全`中的`网络访问控制`进入网络 ACL 列表
点击`创建`,弹出创建的页面,您可以自定义网络 ACL 的名称
 点击提交,ACL 就创建成功了,页面自动转到新创建的网络 ACL 的详情页面,可以看到网络 ACL 的所有规则。为了避免网络 ACL 影响网络的连通,所以新创建的网络 ACL 默认对所有地址开放。您可以在网络 ACL 的详情页面查看、添加、修改、删除、禁用 ACL 规则、应用修改。在左上角`基础属性`栏,可以看到网络 ACL 的名称 / ID / 绑定的资源和创建时间。

修改网络 ACL 配置

点击`添加规则`,用户可以定义要添加的规则。填写规则名称、优先级(数字越小优先级越高,最多可添加 100 条规则),选择方向(上行或者下行),行为(允许或者拒绝)、IP 版本( IPv4 / IPv6 ),源 IP (下行) / 目的 IP (上行)。
点击规则右侧的`修改`按钮可以修改现有的规则,点击`禁用/启用`按钮可以将相应的规则禁用或启用。
点击`应用修改`使配置修改生效

网络 ACL 绑定到私有网络 Vxnet

在网络 ACL 列表页,可以右键 – 网络 – 绑定 / 解绑私有网络
先选择对应的 VPC ,然后选择私有网络 Vxnet
点击提交,网络 ACL 就成功绑定到私有网络 Vxnet

VPC 和私有网络 Vxnet 相关的网络 ACL 配置和操作

为了方便用户使用,我们在 VPC 和私有网络 Vxnet 页面中也增加了网络 ACL ,您可以查看相关的网络 ACL 配置,并进行一定的操作。因为网络 ACL 可以绑定多个私有网络 Vxnet,所以在网络 ACL 绑定给多个私有网络时,请您谨慎增删或者修改规则,建议您在复制后的网络 ACL 中修改。网络 ACL 绑定多个私有网络时,网络 ACL 的应用修改会同步给所有绑定的私有网络。

在 VPC 下私有网络页面中配置和操作

 

在 VPC 的`私有网络`界面下,每个私有网络都新增了`网络 ACL `页面,您可以在资源列表中查看当前 ACL 中的全部资源。
点击`网络 ACL `,就进入私有网络的网络 ACL 页面,您可以查看、添加、修改、禁用、删除当前绑定的网络 ACL 中的规则。
您还可以点击提示中的`创建或管理 ACL `快速跳转到网络 ACL 页面。
当有规则没有应用修改时,您可以点击`应用修改`将规则的修改应用到所有关联的 Vxnet。

在私有网络页面中绑定和解绑 网络 ACL

您可以在私有网络页面看到每个私有网络 Vxnet 绑定的网络 ACL
您还可以通过私有网络右键 – 网络 ACL – 绑定 / 解绑来对私有网络的 ACL 进行操作

高性能列式数据库ClickHouse on QingCloud上线

ClickHouse是一款高性能的、面向联机分析处理(OLAP)的、开源的、列式数据库,ClickHouse on QingCloud是云化版本的ClickHouse集群应用。立即使用→

 

ClickHouse on QingCloud的主要功能:

  • 兼容目前ClickHouse所有支持的数据引擎;
  • 支持横向增加节点、集群节点升降配置等弹性功能;
  • 提供集群内数据重分布等高级集群管理功能;
  • 您可以像单节点一样使用、管理整个云端集群。

KubeSphere® 容器管理平台高级版 2.0.0 Release Notes

KubeSphere® 简介

KubeSphere® 是基于 Kubernetes 构建的企业级分布式多租户容器管理平台,目的是为个人和企业用户提供更好的 Kubernetes 集群运维、基于容器的 CI/CD,微服务治理,应用生命周期管理等功能。

关于 KubeSphere® 高级版

KubeSphere® 共提供社区版易捷版以及高级版三个版本,其中社区版和易捷版主要提供多租户管理、集群运维、应用管理等功能,而高级版主要针对企业用户,目的是满足企业内不同角色用户、提供多种以容器为资源载体的的业务功能模块。

关于 2.0.0

KubeSphere® 高级版 2.0.0 基于 Kubernetes 1.13.5 开发,并验证过 1.10.5 及以上小版本、1.12.5及以上小版本,初始安装请参考安装部署指南,原有的基于 KubeSphere® 高级版 1.0.x 搭建的环境可以通过官方 Installer 无缝升级到 2.0.0。

1.0.x Release Notes 参考链接

1.0.0 Release Notes

1.0.1 Release Notes

高级版 2.0.0 更新详情列表

组件升级


  • 集成 QingCloud CSI v0.2.1 存储插件,支持 QingCloud 单副本硬盘,容量型、性能型、超高性能型、基础型、企业型、NeonSAN 硬盘  

  • 可选安装组件 Harbor 升级至 1.7.5  

  • 可选安装组件 GitLab 升级至 11.8.1  

  • Prometheus 升级至 2.5.0  

微服务治理


  • 集成 Istio 1.1.1,支持图形化创建包含多个微服务组件的应用

  • 支持为项目(外网访问)和应用开启/关闭应用治理  

  • 内置微服务治理示例 Bookinfo  

  • 支持流量治理  

  • 支持流量镜像
  • 基于 istio 可提供微服务级别的负载均衡功能

  • 支持金丝雀发布  

  • 支持蓝绿部署  

  • 支持熔断  

  • 支持链路追踪  

DevOps


  • CI/CD 流水线提供邮件通知模板

  • CI/CD 图形化编辑流水线增强

  • 提供基于 SonarQube 7.4 的代码漏洞扫描功能

  • 提供 Source to Image 功能,基于代码无需 Dockerfile 直接构建应用负载并发布运行

监控


  • 提供 Kubernetes 组件独立监控页,包括 etcd、kube-apiserver 和 kube-scheduler

  • 优化若干监控指标算法  

  • 优化监控资源占用,减少 Prometheus 内存及磁盘使用量 80% 左右    

日志


  • 提供根据租户权限过滤的统一日志检索控制台

  • 支持精确和模糊日志检索

  • 支持实时和历史日志检索

  • 支持组合条件日志检索,包括:项目、工作负载、容器组、容器、关键字和时间范围

  • 支持单条日志直达日志详情页,并可切换不同容器组以及容器组下不同容器

  • 支持日志详情页直达容器组或者容器详情页

  • 基于自研 FluentBit Operator 提供灵活的日志收集配置:可添加 Elasticsearch、Kafka 和 Fluentd 作为日志接收者,并可按需激活/关闭;在发送给日志接收者前,可灵活输入过滤条件筛选出感兴趣的日志

告警和通知


  • 支持针对集群节点和工作负载资源的邮件通知

  • 支持组合通知规则:可组合多种监控资源,制定不同的告警级别、检测周期、推送次数和阈值

  • 可配置通知时间段和通知人

  • 支持针对不同通知级别设置独立的通知重复规则

安全


其他


  • 支持 etcd 备份及恢复

  • 支持 docker 镜像定期清理

  • 多处用户体验优化

  • 更正多处中英文页面文案

高级版 2.0.0 bug 修复详情列表


  • 修复删除页面资源页面未及时更新问题

  • 修复删除 HPA 工作负载后残留脏数据问题

  • 修复任务(Job)状态显示不正确的问题

  • 更正资源配额、Pod 用量、存储指标算法

  • 调整 CPU 用量结果精度

  • 其他若干 bug 修复

快速入门

快速入门请参考 https://docs.kubesphere.io/advanced-v2.0/zh-CN/quick-start/quick-start-guide/

2.0.0 新功能快览

Kubernetes 组件监控页

统一日志检索页

SonarQube 代码漏洞扫描

 

Source to Image

流量治理&熔断

链路追踪

 

灰度发布