Расскажем об изменениях, которые появились в новом стабильном релизе нашей K8s-платформы Deckhouse — v1.29.0 . Важные изменения Обновленная — безопасная — версия Grafana. В начале декабря стало известно, что у Grafana есть критическая уязвимость нулевого дня ( CVE-2021-43798 ). С ее помощью можно организовать атаку типа обход каталога и получить доступ к локальным файлам. Уязвимость была актуальна для всех версий Grafana, начиная с v8.0.0-beta1 и новее. Патч выпустили через сутки после того, как стало известно об уязвимости. Теперь в Deckhouse используется защищенная версия Grafana v8.2.7. Отказ от поддержки alpha-версий cert-manager в связи с требованиями по переходу на новый релиз v1.6.1 . Изменение касается только нового cert-manager ; для старого cert-manager 0.10.1 (certmanager.k8s.io ) пока все остается как есть. Сам cert-manager обновился с v1.5.4 до v1.6.1. В новой версии исправлены некоторые баги и улучшено логирование ошибок. Другие улучшения Функции, которые появились в отдельных компонентах и модулях: log-shipper — поддержка потоков данных Elasticsearch ( data streams ) для хранения логов и метрик. Потоки данных позволяют хранить данные типа append-only («только добавляемые») по нескольким индексам и предоставляют единый именованный ресурс для запросов. Data streams удобны для сбора логов, событий, метрик и других постоянно генерируемых данных. Функция поддерживается в Elasticsearch v7.16+; node-manager — добавлено принудительное удаление Pod’ов с узла в ситуации, когда узел запрашивает ломающее обновление, но PodDisruptionBudget препятствует выселению Pod’ов; secret-copier — реализована логика Create Or Update для управления секретами. Также добавлена поддержка label-селектора, чтобы копировать секреты только в определенные пространства имен; ingress-nginx — появилась возможность устанавливать SSL-сертификат по умолчанию. Для этого в конфигурации IngressNginxController добавлено поле .spec.defaultSSLCertificate.secretRef . Опция избавляет от необходимости задавать имя секрета в объекте Ingress. В документации появилась инструкция по использованию Harbor в качестве стороннего container registry, информация о лимите в Dex для защиты от перебора паролей и о слиянии нескольких cluster authorization rules для одного пользователя, а также проведен рефакторинг вывода OpenAPI-спецификаций. Полный список изменений, представленных в Deckhouse v1.29.0, опубликован в changelog’е . В следующем релизе (v1.30), в частности, ожидается появление поддержки Kubernetes версии 1.22. P.S. Для знакомства с Kubernetes-платформой Deckhouse рекомендуем раздел « Быстрый старт » (на русском и английском языках). Полезные ссылки на ресурсы проекта: основной GitHub-репозиторий ; официальный Twitter-аккаунт (на английском); русскоязычный Telegram-чат . Читайте также в нашем блоге: « Kubernetes-платформа Deckhouse зарегистрирована в Едином реестре российского ПО » ; « Как переехать с GKE на Deckhouse, чтобы разработчики этого даже не заметили. Кейс robota.ua » ; « Deckhouse v1.28.0. Ключевые фичи в новом релизе Kubernetes-платформы » .)