-
OpenSSH远程代码执行漏洞公告(CVE-2024-6387) - 云容器引擎 CCE
6387) OpenSSH是一个基于SSH协议的安全网络通信工具,通过加密所有流量以消除窃听、连接劫持和其他攻击。此外,OpenSSH 还提供大量安全隧道功能、多种身份验证方法和复杂的配置选项,是远程服务器管理和安全数据通信的必备工具。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID
-
是否可以直接连接CCE集群的控制节点? - 云容器引擎 CCE
是否可以直接连接CCE集群的控制节点? CCE支持使用Kubectl工具连接集群,具体请参见通过Kubectl连接集群。 CCE不支持登录控制节点执行相关操作。 父主题: 集群运行
-
整体应用容器化改造 - 云容器引擎 CCE
对接mongoDB:用于用户文件存储。 对接MySQL:用于存储第三方企业数据,MySQL使用外部云数据库。 本例应用容器化改造价值 本例应用原先使用虚机方式部署,在部署和升级时,遇到了一系列的问题,而容器化部署解决了这些问题。 通过使用容器,您可以轻松打包应用程序的代码、配置和依赖关系,将其变成易于使用的构建块,
-
应用容器化改造方案概述 - 云容器引擎 CCE
测试、部署的时间。 一致的运行环境。 容器镜像提供了完整的运行时环境,确保应用运行环境的一致性。从而不会再出现“这段代码在我机器上没问题”这类问题。 更轻松的迁移、维护和扩展。 容器确保了执行环境的一致性,使得应用迁移更加容易。同时使用的存储及镜像技术,使应用重复部分的复用更为容
-
runc漏洞(CVE-2024-21626)对CCE服务的影响说明 - 云容器引擎 CCE
集群升级至漏洞修复版本后,新启动的容器不存在漏洞风险,对于已运行的容器需要进一步排查,详情请参见判断方法。 已运行的容器中,如果启动容器进程时设置WORKDIR为/proc/self/fd/<num>,仍存在风险,需要删除该配置后重新部署容器。 已运行的容器中,使用的镜像中WORKDIR设
-
获取模板Values - 云容器引擎 CCE
String 模板的ID 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 消息体的类型(格式) X-Auth-Token 是 String 调用接口的认证方式分为Token和AK/SK两种,如果您使用的Token方式,
-
云容器引擎 CCE - 云容器引擎 CCE
CCE权限管理是在统一身份认证服务(IAM)与Kubernetes的角色访问控制(RBAC)的能力基础上,打造的细粒度权限管理功能,支持基于IAM的细粒度权限控制和IAM Token认证,支持集群级别、命名空间级别的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 CCE权限概述 集群权限(IAM授权)
-
在CCE集群中使用工作负载Identity的安全配置建议 - 云容器引擎 CCE
在CCE侧获取集群的jwks(即集群的service account token的签名公钥)。 在IAM创建身份提供商。 部署应用并将挂载身份提供商。 使用oidc token访问IAM获取IAM Token(用户实现) 使用IAM Token访问云服务(用户实现) 获取CCE集群的jwks
-
Helm v2与Helm v3的差异及适配方案 - 云容器引擎 CCE
丁时,会考虑之前原来的manifest的活动状态。因此,Helm在使用原来的chart manifest生成新补丁时会考虑当前活动状态,并将其与之前原来的 manifest 进行比对,并再比对新的 manifest 是否有改动,并进行自动补全,以此来生成最终的更新补丁。 详情及示
-
分析应用 - 云容器引擎 CCE
自身配置 需要理出应用运行时的配置参数,哪些是需要经常变动的,哪些是不变的。 本例中,没有需要提取的自身配置项。 说明: 为确保镜像无需经常更换,建议针对应用的各种配置进行分类。 经常变动的配置,例如周边对接信息、日志级别等,建议作为环境变量的方式来配置。 不变的配置,可以直接写到镜像中。
-
获取指定项目下的集群 - 云容器引擎 CCE
iptables:社区传统的kube-proxy模式,完全以iptables规则的方式来实现service负载均衡。该方式最主要的问题是在服务多的时候产生太多的iptables规则,非增量式更新会引入一定的时延,大规模情况下有明显的性能问题。 ipvs:主导开发并在社区获得广泛支持的kube-p
-
查询CCE服务下的资源配额 - 云容器引擎 CCE
描述 Content-Type 是 String 消息体的类型(格式) X-Auth-Token 是 String 调用接口的认证方式分为Token和AK/SK两种,如果您使用的Token方式,此参数为必填,请填写Token的值,获取方式请参见获取token。 响应参数 状态码: 200
-
Pod:Kubernetes中的最小调度对象 - 云容器引擎 CCE
主进程前,需要一些准备工作。比如MySQL类的数据库,可能需要一些数据库配置、初始化的工作,这些工作要在最终的MySQL服务器运行之前做完。这些操作,可以在制作镜像时通过在Dockerfile文件中设置ENTRYPOINT或CMD来完成,如下所示的Dockerfile中设置了ENTRYPOINT
-
工作负载异常:结束中,解决Terminating状态的Pod删不掉的问题 - 云容器引擎 CCE
工作负载异常:结束中,解决Terminating状态的Pod删不掉的问题 问题描述 在节点处于“不可用”状态时,CCE会迁移节点上的容器实例,并将节点上运行的pod置为“Terminating”状态。 待节点恢复后,处于“Terminating”状态的pod会自动删除。 偶现部分pod(实例)一直处于“Terminating
-
参考:Jenkins对接Kubernetes集群的RBAC - 云容器引擎 CCE
--namespace=dev 生成指定ServiceAccount的kubeconfig文件 1.21以前版本的集群中,Pod中获取Token的形式是通过挂载ServiceAccount的Secret来获取Token,这种方式获得的Token是永久的。该方式在1.21及以上的版本中不再推荐使用,并且根据社区版本迭代策略,在1
-
预置条件 - 云容器引擎 CCE
预置条件 本实践提供在CCE上运行caffe的基础分类例子https://github.com/BVLC/caffe/blob/master/examples/00-classification.ipynb的过程。 OBS存储数据预置 创建OBS桶,并确认以下文件夹已创建,文件已上传至指定位置(需要使用OBS
-
CCE集群备份恢复(停止维护) - 云容器引擎 CCE
自行根据备份时选择的方式进行针对性的恢复,用户无需担心,也没有相应的配置 hook 的使用建议参照立即备份中的 hook 使用建议,waitTimeout 在无必要的情况下可以不进行配置 恢复时建议配置恢复到新的 namespace 下,按照备份什么就恢复什么的原则,避免自行的配置失误导致恢复后的应用无法启动运行
-
创建节点时password字段加盐加密的方法 - 云容器引擎 CCE
密码不能包含用户名或用户名的逆序。 Windows系统密码不能包含用户名或用户名的逆序,不能包含用户名中超过两个连续字符的部分。 Python 以下是Python 3.7.7环境下对密码进行加盐的示例步骤: macOS下python crypt包有兼容性问题,如碰到无法执行的情况,请在Linux下执行。
-
使用Kubectl命令操作集群 - 云容器引擎 CCE
source的相关信息。不同的是,get获得的是更详细的resource个性的详细信息,describe获得的是resource集群相关的信息。describe命令同get类似,但是describe不支持-o选项,对于同一类型resource,describe输出的信息格式,内容域相同。
-
通过配置kubeconfig文件实现集群权限精细化管理 - 云容器引擎 CCE
CCE默认的给用户的kubeconfig文件为cluster-admin角色的用户,相当于root权限,对于一些用户来说权限太大,不方便精细化管理。 目标 对集群资源进行精细化管理,让特定用户只能拥有部分权限(如:增、查、改)。 注意事项 确保您的机器上有kubectl工具,若没有