周一见|K8S v1.14 正式发布、K8S 严重性安全漏洞解决建议、2018 图灵奖:荣耀属于深度学习
新闻
作者:才云科技
译者:小君君、bot
2019-04-01 12:24

Kubernetes 资讯 

 1. Kubernetes v1.14 正式发布 

美国时间 3 月 25 日 Kubernetes v1.14 正式发布,该版本由 31 项增强功能组成:10 项稳定版功能,12 项 Beta 测试功能以及 7 项全新功能。这次版本的核心主题在于可扩展性,且能支持 Kubernetes 上的更多工作负载。 

新版本四大特征: 

  • 对 Windows 节点的生产级支持 :Kubernetes 中的 Windows 节点支持已经处于 Beta 阶段,允许更多用户检验并查看 Kubernetes 对 Windows 容器的价值;
  • 值得关注的 kubectl 更新:kubectl 的文档已经从头开始重写,使用声明性 Resource Config 来管理资源;kustomize 的声明性 Resource Config 创作功能现在可通过 -k 标志和 kustomize 子命令在 kubectl 中获得;kubectl 插件机制允许开发人员以独立二进制文件的形式发布自己的自定义 kubectl 子命令;
  • 持久化本地存储进入 GA 阶段:持久化本地存储更加稳定,使用户可以把本地存储用作持久存储源;
  • PID 限制正转向 Beta 测试阶段:在 Beta 版中,管理员可以通过预定义每个 Pod 的 PID 数量,实现 Pod 之间的  PID 隔离。

新版本概要如下: 

2. K8S 严重性安全漏洞解决建议 

近日,Twistlock 的安全研究员 Ariel Zelivansky 发现了一个高严重性安全漏洞(编号:CVE-2019-1002101[1])。当用户使用 Kubernetes kubectl cp 命令时,该命令可以将目录遍历替换或删除用户工作站上的文件。也就是说,该漏洞允许攻击者将文件写入用户计算机上的任何路径。 

对于此漏洞,社区建议将 kubectl 升级到 Kubernetes v1.11.9、v1.12.7、v1.13.5、v1.14.0 等其中一个版本以解决此问题。

Aqua Security 产品营销副总裁 Rani Osnat 表示:最新的漏洞并不像以往的 CVE 严重。因为攻击者想要利用它是非常困难的,他们需要在集群内部使用“流氓容器”才能达到目的。Kubernetes 用户只要使用受信任的镜像以及使用一些最佳实践方案(例如 Internet Security Kubernetes 中心的基准测试),并监控集群是否存在任何可疑行为即可。  

用户可按照此说明对 kubectl 进行升级:https://kubernetes.io/docs/tasks/tools/install-kubectl/ 

3. 为 K8S 容器提供 4 点安全性建议 

虽然 Kubernetes 是容器编排的事实标准,但是它本身并不安全。众所周知,Kubernetes 安全漏洞时有曝出。为了帮助使用者规避一些安全风险,SECURITY BOULEVARD 网站作者 Michael Peters 在博客中提出以下 4 条安全建议: 

  • 安装 Kubernetes 最新版本并保持修补:Kubernetes 安全特权升级漏洞的唯一解决方案是更新 Kubernetes,新版本通常包含重要的安全修复程序;
  • 了解你的 Kubernetes 集群:在部署过程中,使用者无法保护未知内容,因此请利用 CSP 提供的发现工具来了解集群;
  • 使用基于角色的访问控制(RBAC):使用 RBAC 控制 Kubernetes API 上的用户访问权限,并始终使用最小特权原则;为员工提供尽可能多的访问权限(但不是全部);使用特定于命名空间的权限,而不是集群范围的权限;只在需要时授予临时管理访问权限,而不是授予用户集群管理特权;
  • 寻求 Kubernetes 安全性和合规性的外部帮助:组织还必须确保其配置和安全控制符合适用的合规性要求。例如,某些合规性标准会要求一些高度敏感的工作负载需要在不同的计算机中隔离或在本地托管。

 4.GM 开源项目 RBACSync 

GM 开源项目 RBACSync GM(通用汽车公司)的 Cruise 产品正在通过自研的 RBACSync 开源项目来提高其 Kubernetes 平台安全策略控制。RBACSync 受益于 Kubernetes controller 的功能,它可以将新功能添加到平台中。RBACSync controller 能够查看 Kubernetes 集群中 CRD 的配置情况(识别 Group和 Role)。每当配置发生更改时,系统就创建一个与 RBAC 策略组绑定的 Role。 

通过遵循现有的 RBAC 惯例,RBACSync 可以适用于平台已经存在的内容,无缝地使用现有的 Role(包括其他项目和 Helm 定义的 Role)。GM 的目标是尽可能地推动它,然后从那里开始工作。 

5. Greenbird CEO 访谈:云原生时代的 DevOps 

近日,JAXenter 的记者 Eirini-Eleni Papadopoulou 对 Greenbird 创始人兼 CEO  Thorsten Heller 针对 DevOps 如今的发展、如何将一些工具过度到 DevOps 等问题进行采访。采访概要如下:

Q:DevOps 在建设流程时,可能会出现失败。那么,你可以提供哪些建议帮助大家将失败转变为成功?

A:首先,让您的组织采用灵活的 DevOps 思维模式,然后再投入大量精力进行工具设计是帮助你一步步完成 DevOps 流程的关键。

Q:您建议工程师们应该将哪些工具过渡到 DevOps ?

A:在此我举一个例子来说明:对于 Greenbird 来说,CI / CD 是 DevOps 的核心之一,我们使用 Concourse 结合 Git、Docker 等管理我们的管道。

Q:AIOps 是下一个前进方向么?还是它仅仅是一种实现 DevOps 的不同方式?

A: 我们更倾向于利用 DataOps 作为下一个前进方向。随着大多数组织转变为数据驱动型或数据型组织,管理数据的整个生命周期变得越来越重要。

Q:自动化是 DevOps 中最为关键的概念之一。虽然它有望让开发人员摆脱日常工作,让他们专注于细节。但在某些情况下,它也可能会出现一些问题。开发人员应该如何合理运用自动化?

A:开发人员需要在自动化日常工作与设置极其复杂的自动化解决方案之间找到一个适当的平衡点来解决这个问题。 

AI 资讯

 1. 2018 图灵奖:荣耀属于深度学习 

上周,2018 图灵奖获得者名单公布,深度学习领域的三巨头 Yoshua Bengio、Geoffrey Hinton 和 Yann LeCun 共同荣膺这一 “计算机界的诺贝尔奖”。ACM 在颁奖介绍中指出:这三人为深度神经网络这一领域建立起了概念基础,通过实验揭示了神奇的现象,还贡献了足以展示深度神经网络实际进步的工程进展。

 作为 AI 研究的重要组成部分,深度学习一直主张让计算机像人类一样思考。伴随几度沉浮,这项技术近年来在计算机视觉、语音识别、自然语言处理和机器人技术等领取取得了极大突破,也在工业界掀起巨大革命。

 尽管三位获奖者实至名归,但今年的图灵奖还是引发了相当的争议,原因是同为深度学习教父级人物的 Jürgen Schmidhuber 落选了。Schmidhuber 是 LSTM 之父,他的 LSTM 模型是当下大量 NLP 模型的基础,堪称深度学习领域最商业化的技术之一。 尽管其性格为人饱受批评,但就贡献来看,许多业内专家还是认为图灵奖该给 Schmidhuber 一个席位。 

2. 用滑动窗口进行实例分割  

上周,陈鑫磊、何恺明等人在一篇预印本中指出,目标检测的常规技术之一——滑动窗口,可能在图像的实例分割中也可以大显身手。 

滑动窗口是传统目标检测的常用框架,它首先利用不同尺寸的滑动窗口框住图中的某一部分作为候选区,之后提取候选区域相关的视觉特征,最后利用 SVM 模型等分类器进行识别。而常规的实例分割方法则主要是先检测对象边界框,然后进行裁剪和分割,如 Mask R-CNN。 

在文章中,作者将密集实例分割视为一个 4D 张量 (4D tensors) 的预测任务,并提出了一个名为 TensorMask 的通用框架,该框架显式地捕获这种几何图形,并支持对 4D tensors 使用新的操作符。根据 COCO 实例分割结果,TensorMask 的性能和 Mask R-CNN 已经十分接近。根据作者的说法,这项研究将为密集实例分割研究奠定基础。 

其他

1. 996.ICU issue 已被关闭 

近日,一个名为 996.ICU 的 GitHub 项目引起轩然大波。996.ICU 的意思是:工作 996,生病 ICU。虽然该项目不关乎任何技术,但它控诉了诸多强制加班的互联网公司,和国内的每个程序员息息相关。截至目前,该项目的 star 数量已经上升为 136915 颗,这应该是有史以来 GitHub 上星星涨最快的项目了。目前,该项目 issue 已被关闭,原因未知。 

2. Gmail 将引入 AMP 技术   

近日,谷歌宣布将把 AMP 技术引入到网页 Gmail 中。通过这种方式,Gmail 的邮件内容也可以像网页一样让使用者直接互动,比如填写表单、回覆 Google Docs 的留言、浏览型录等。这些过往都需要另外打开浏览器页面的动作,现在可以直接在邮件的对话框内完成。但该项目受到了很多抵制和批评,批评者认为 AMP 项目创造了一个围墙花园,只服务于搜索巨人的利益。Google 则坚称 AMP 的使命能让开放 Web 受益。 


76 comCount 0