集成CIS安全扫描、自动更新API Server证书,KubeOperator V2.6发布丨Release Notes

发布于 2020年05月18日

5月18日,开源容器平台KubeOperator发布V2.6版本。KubeOperator V2.6版本新增CIS安全扫描等新功能,同时支持自动更新API Server证书,以及在使用VMware vSphere创建虚拟机时可选用自有模板。

新增功能

1. CIS安全扫描

KubeOperator结合Kube-bench实现了CIS安全扫描功能,通过CIS安全扫描功能,可以帮助集群管理员检查Kubernetes是否已经安全部署。Kube-bench尽可能紧密地实现CIS Kubernetes基准,CIS Kubernetes基准的详细信息可以通过下方链接查看: https://www.cisecurity.org/benchmark/kubernetes/

▲图1 CIS安全扫描功能栏
▲图2 CIS安全扫描报告

2. 使用vSphere创建虚机时支持选用自有模板

用户在使用vSphere来部署Kubernetes集群时,对于节点服务器的操作系统,除了使用KubeOperator提供的默认CentOS 7的系统模板之外,用户还可以选择自有的镜像模板进行创建使用,在操作系统选择层面更加灵活。同时,对于敏感度较高的企业环境,使用自有模板也会更加符合企业的安全规范。

▲图3 集群合规评分界面

3. 支持自动更新API Server证书

通过自动更新配置API Server证书的功能,可以方便用户使用其他负载均衡设备对Kubernetes集群的Master节点配置高可用。默认情况下,使用KubeOperator创建多Master节点的Kubernetes集群时,是通过HAProxy负载多个Master节点来提高可用性的。当然,真实环境中有成熟的、商业的负载均衡设备或者更好的解决方案时 ,可以使用外部的负载均衡设备来做高可用。

配置过程中如果需要使用HTTP/HTTPS做七层负载,就需要API Server的证书文件。在API Server中设置栏目,填写VIP地址(即负载均衡器的IP),如图4所示,就可以自动为负载均衡器配置API Server证书。证书文件将存放在Master节点的/etc/kubernetes/ssl目录中。

▲图4 配置API Server证书
▲图5 前往Master节点查看证书文件

Bug 修复

1. 修复主机列表分页问题;

2. 修复LDAP保存未检验表单问题;

3. 修复备份账号验证失败的问题;

4. 修复添加vCenter区域时多个数据中心导致的显示错误问题;

5. 修复添加vCenter账号端口未校验的问题;

6. 修复添加多GPU主机失败的问题。

优化改进

1. 增加支持CentOS 7.8的系统;

2. 增加支持RHEL 7.4以上的系统;

3. Kubeapps Plus应用商店改为可选安装。