Kubernetes ingress-nginx v1.1.2 发布

就在今天 Kubernetes ingress-nginx 项目发布了 v1.1.2 版本。我是这个版本的 release manager 。

距离上个版本发布有将近两个月了，我们来看看这个版本中值得关注的一些变更。

在 #8221 中，我们对 ingress-nginx 的 Admission controller 的逻辑做了一些调整，主要是可以用来修正自 v1.0 版本后，如果 Kubernetes 集群中同时运行多个 ingress-nginx 的话，在创建 Ingress 资源的时候，可能导致每个 ingres-nginx 的 Admission 都会去进行检查的问题。而该问题最大的影响是，如果创建的 Ingress 配置相同的话，则会被直接拒绝掉。

在 #8253 中则是为 ingress-nginx 增加了一个 ssl_certificate_info 的 metric，直接公开当前被加载的证书的信息。这个功能的最大的好处就是可以避免 Ingress controller Pod 加载了旧证书，进而导致客户端连接失败的问题。

此外 #8256 是为了修正在 nginx.ingress.kubernetes.io/auth-url 中传递无效 URL 的问题，建议升级。

此外还有一些小的 bugfix 和优化，更多详细信息请参考 ReleaseNote 。

在这次发布过程中还有一些比较有趣的事情，本次发布过程从时间线看，从我开始发布流程，到最后完成发布，共持续了一周的时间，由几个人异步协作完成。这跟往常差别还是比较大的，往常我们可能会约某个时间，同时在线一起来完成。这次各种原因吧，也比较忙，往后也许就会保持这种模式了（对多时区的协作比较友好）。

Istio 1.13.1 发布

在之前的《K8S 生态周报| Istio 即将发布重大安全更新，多个版本受影响》中，我曾介绍过 Istio v1.13 的主要功能，以及 Istio 会在 v1.13.1 中修复一个重大安全漏洞 CVE-2022-23635。

现在包含该漏洞补丁的相关版本已经发布，包括 v1.11.7、v1.12.3 和 v1.13.1。该漏洞主要是会影响在多集群中运行的 Istio ，或者暴露在公网环境中的 Istio。攻击者可以通过访问未经身份验证的接口发送特定请求，进而导致 istiod 拒绝服务。

更多详情请参考 Istio / ISTIO-SECURITY-2022-003

Knative 进入 CNCF

上周，CNCF 技术监督委员会(TOC) 投票决定接受 Knative 作为 CNCF 孵化项目。

这个事情早在 2021 年的 11 月，当时 Google1 和 Knative2 项目均发布文章表示已经申请成为 CNCF 的孵化项目。

如今终于顺利成为 CNCF 的孵化项目，这无论对 Knative，CNCF 还是社区都是非常好的。

在我之前的文章中也曾介绍过， Knative 最早是由 Google 在 2018 年创立并开源的，之后又与 IBM，Red Hat，VMware 等公司合作开发。

如今 Knative 几乎可以说是云原生领域中安装最为广泛的 Serverless 项目了（数据来自 CNCF 的报告），并且它也已经达到了 v1.0 版本。此外 Google 还推出了基于 Knative 的 Cloud Run 和 Cloud Run For Anthos 等产品，这些都对 Knative 的普及起到了很大的作用。

未来，Knative 将在 CNCF 下培育其社区，并在基金会下转向完全开放的治理模式，很有可能就会是云原生时代下开源 Serverless 领域的事实标准了。

公告详情请参考：Knative accepted as a CNCF incubating project

上游进展

#107638 · kubernetes/kubernetes 更新了 k8s.io/utils 的依赖，主要是为了解决 kubelet 中的 inotify 泄漏的问题，更多细节可参考 kubelet uses 120GB memory after 20,000 job created and retains 80GB memory after jobs completed and deleted · Issue #100241 · kubernetes/kubernetes