容器编排 on 办公AI智能小助手

Kubernetes 命名空间删除竞争条件漏洞深度剖析：网络策略绕过与修复方案

Mon, 12 Jan 2026 06:17:14 +0800

CVE-2024-7598：命名空间终止期间因竞争条件导致的网络限制绕过

漏洞概述

CVE ID: CVE-2024-7598 CVSS 评分: 3.1（低危）- CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N 报告日期: 2024年8月7日 影响组件: kube-apiserver

一个安全漏洞在Kubernetes中被发现，恶意或已被攻陷的Pod可能在命名空间删除过程中，绕过由网络策略（Network Policies）强制实施的网络限制。问题的核心在于命名空间终止期间对象删除的顺序未被明确定义，网络策略有可能在它们所保护的Pod之前被删除。这可能导致一个短暂的时间窗口，在此期间Pod仍在运行并接受网络连接，但网络策略的限制却未被应用。

Kubernetes 1.35 “Timbernetes”发布：聚焦弹性、社区与边缘计算

Wed, 31 Dec 2025 21:16:33 +0800

Kubernetes 1.35: Timbernetes, with Drew Hagen

Kubernetes 1.35 的发布负责人 Drew Hagen 讨论了本次发布的主题“Timbernetes”。这个主题象征着 Kubernetes 社区的韧性与多样性。他分享了自己作为发布主管的经验，重点介绍了新版本中的关键功能与增强项，并谈到了发布管理中协调工作的重要性。Drew 还提及了该版本中的一些废弃项，以及 Kubernetes 的未来，包括其在边缘计算领域的应用。

Kubernetes节点权限逃逸漏洞分析：CVE-2025-5187

Wed, 31 Dec 2025 17:03:36 +0800

CVE-2025-5187: 节点可通过添加OwnerReference自行删除

CVSS评级: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L - 中等 (6.7)

漏洞描述

NodeRestriction准入控制器存在一个漏洞，节点用户可以通过给自身添加一个指向集群范围资源的OwnerReference来删除其对应的节点对象。如果该OwnerReference资源不存在或随后被删除，给定的节点对象将通过垃圾回收机制被删除。默认情况下，节点用户被授权对其节点对象执行创建和修补请求，但不被授权执行删除请求。由于NodeRestriction准入控制器未阻止对OwnerReferences的修补，受攻击的节点可利用此漏洞删除并重新创建其节点对象。这将允许节点对象以通常会被此插件拒绝的、经过修改的污点或标签重新创建。修改节点上的污点或标签可能允许攻击者控制哪些Pod在受攻击的节点上运行。

深入解析Kubernetes AI一致性：标准化AI负载的关键步骤

Wed, 31 Dec 2025 10:46:15 +0800

Kubernetes Podcast from Google: Kubernetes AI Conformance, with Janet Kuo

关于本播客

这是一个双周播客，由Abdel Sghiouar和Kaslin Fields主持，聚焦Kubernetes社区的最新动态。我们讨论Kubernetes、云原生应用以及生态系统中的其他发展。

GKE十年演进：从早期容器编排到AI驱动的Kubernetes运维

Wed, 31 Dec 2025 09:40:39 +0800

Kubernetes Podcast from Google: GKE 10 Year Anniversary, with Gari Singh

所有单集 GKE十周年纪念，与Gari Singh

GKE十周年纪念，与Gari Singh 2025年10月29日 GKE在2025年迎来了十岁生日！在本期节目中，我们与GKE产品经理Gari Singh一起探讨了GKE从早期容器编排到AI驱动运维的历程。了解Autopilot、IPPR以及关于Kubernetes未来的宏伟愿景。

AWS推出全新EKS Capabilities以简化Kubernetes工作负载编排

Wed, 31 Dec 2025 01:50:29 +0800

亚马逊云科技（AWS）发布了Amazon EKS Capabilities，这是一套完全托管的Kubernetes原生功能集，旨在简化工作负载编排、AWS云资源管理以及Kubernetes资源的组合与自动化。该功能现已在美国东部、西部等大多数AWS商业区域全面上市。它将广受欢迎的开源工具打包成一个托管平台层，减轻了工程团队的运维负担，使应用在Amazon Elastic Kubernetes Service（EKS）上的部署和扩展更加快速。

利用启用raw_exec的Nomad进行渗透测试

Wed, 10 Dec 2025 05:42:27 +0800

Devoops: 启用raw_exec的Nomad

“Nomad是一个灵活的容器编排工具，它使组织能够使用单一、统一的工作流轻松部署和管理任何容器化或传统应用程序。Nomad可以运行各种工作负载，包括Docker、非容器化、微服务和批处理应用程序，并为开发人员和操作人员提供以下好处…”

自然语言操控Kubernetes：AWS发布全托管的Amazon EKS MCP Server预览版

Mon, 08 Dec 2025 14:48:29 +0800

自然語言でKubernetesに話しかけて運用管理可能に。AWSがフルマネージドなAmazon EKS MCP Serverをプレビュー開始

2025年11月27日

Amazon Web Services（AWS）宣布，开始预览发布一项全新的全托管服务——Amazon EKS MCP Server。该服务使得用户无需使用复杂的kubectl命令或具备深厚的Kubernetes专业知识，即可通过自然语言向Kubernetes下达指令，进行运维和管理。

Kubernetes v1.34智能流量路由：PreferSameNode与PreferSameZone详解

Wed, 26 Nov 2025 16:29:12 +0800

Kubernetes v1.34：通过PreferSameNode和PreferSameZone实现智能流量路由

Kubernetes已稳步发展成为容器编排的行业标准，从小型开发集群到超大规模AI和数据基础设施都在使用。每个新版本都会引入新特性，不仅使工作负载更易于管理，还提高了性能、成本效益和弹性。

Kubernetes v1.34 智能流量路由：PreferSameNode 与 PreferSameZone 详解

Wed, 26 Nov 2025 08:40:48 +0800

Kubernetes 已稳步发展成为容器编排的行业标准，从小型开发集群到超大规模 AI 和数据基础设施都在使用。每个新版本不仅让工作负载更易于管理，还提升了性能、成本效益和弹性。

GKE十年演进：从容器编排到AI驱动的运维革命

Wed, 19 Nov 2025 04:35:03 +0800

Kubernetes Podcast from Google: GKE 10 Year Anniversary, with Gari Singh

GKE在2025年迎来了十周年！在本期节目中，我们与GKE产品经理Gari Singh探讨了GKE从早期容器编排到AI驱动运维的发展历程。了解Autopilot、IPPR等创新功能，以及Kubernetes未来的宏伟愿景。

Canonical发布支持FIPS的Kubernetes，满足联邦安全部署需求

Sun, 16 Nov 2025 20:49:48 +0800

Canonical发布支持FIPS的Kubernetes

今天在KubeCon北美大会上，Ubuntu发行商Canonical发布了其Kubernetes发行版的FIPS模式支持，提供了创建和管理适用于高安全性或联邦部署的可扩展集群所需的一切。

Kubernetes大规模AI推理：LLM-D与vLLM技术解析

Sun, 16 Nov 2025 14:51:25 +0800

新闻动态

Kubernetes 1.34预计将于8月底发布
Kubecrash.io：具有明确目标的平台工程会议
CNCF 2025年度Top 30项目评选

特邀嘉宾

Clayton Coleman

Kubernetes核心贡献者
OpenShift开源平台即服务创始架构师
推动云原生应用转型及支撑平台发展
在Google致力于将Kubernetes和GKE打造为运行工作负载（特别是加速AI/ML工作负载）的最佳平台
专注于通过推理网关和LLM-D实现大规模超大模型推理

Rob Shaw

Docker Compose 入门指南：轻松管理多容器应用

Sun, 09 Nov 2025 07:32:55 +0800

Docker Compose 入门指南

多容器管理的挑战

如果你刚接触Docker，可能已经发现了使用docker run命令运行单个容器很方便。但当你的应用需要数据库、缓存时，情况就变得复杂了：

微软AKS Automatic全面上市：彻底简化Kubernetes运维

Fri, 17 Oct 2025 23:55:44 +0800

微软已正式发布Azure Kubernetes Service（AKS）Automatic，推出了一款全托管的Kubernetes产品，旨在消除运维开销，同时保持平台的完整功能和灵活性。该服务代表了微软对所谓"Kubernetes税"的回应——即传统上配置、保护和维护生产级集群所需的大量时间和专业知识。

千行YAML之殇：应对Kubernetes工具泛滥的生存指南

Tue, 07 Oct 2025 08:29:58 +0800

Kubernetes增长带来的集群与工具泛滥

Kubernetes正在席卷全球。在谷歌开源其容器编排技术十多年后，Kubernetes现已无处不在。最初主要用作云中容器管理工具，如今已渗透到基础设施的各个层面。我们看到企业不仅使用Kubernetes管理运行在容器中的应用程序，还用它管理虚拟机、数据库、边缘部署和物联网设备。

Kubernetes高级故障排除技术详解

Tue, 07 Oct 2025 01:48:24 +0800

Kubernetes故障排除存储：解决PVC挂起错误

PersistentVolumeClaim（PVC）挂起状态是Kubernetes中常见的存储问题，会阻止应用程序访问持久化数据。这通常由存储类配置错误、缺少卷供应程序或集群中可用存储不足引起。

千份YAML之殇：应对Kubernetes工具泛滥的生存指南

Mon, 29 Sep 2025 10:53:44 +0800

千份YAML之殇：应对Kubernetes工具泛滥的生存指南

Kubernetes正在吞噬世界。在谷歌开源其容器编排技术十多年后，Kubernetes现已无处不在。最初主要作为云中容器管理工具，现已渗透到基础设施的各个方面。我们看到企业不仅使用Kubernetes管理运行在容器中的应用程序，还管理虚拟机、数据库、边缘部署和物联网设备。

Docker Compose新增构建和运行AI代理功能

Fri, 12 Sep 2025 20:17:36 +0800

Docker Compose新增构建和运行AI代理功能

Docker更新了Compose功能，新增特性使开发者更轻松地构建、交付和运行AI代理。

开发者可在compose.yaml文件中定义开放模型、代理和MCP兼容工具，然后通过单条命令docker compose up启动代理堆栈。

Docker与Podman深度对比：容器管理工具核心技术解析

Mon, 08 Sep 2025 16:45:09 +0800

Docker与Podman对比指南：容器管理工具全面解析

引言

容器已成为软件开发和部署的基石，为运行应用程序提供一致且隔离的环境。它们简化了将软件从一个计算环境迁移到另一个环境的过程，确保应用程序无论部署在何处都能可靠运行。Docker和Podman是两种常用的容器管理工具，各自具有独特的功能和优势。