检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Linux内核权限提升漏洞公告(CVE-2024-1086) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 本地提权 CVE-2024-1086 严重 2024-01-31 漏洞影响 Linux系统内核在3.15-6.8中的netfilter: nf_tables组件存在释放后重利
密钥项键值导入:将密钥中某个键的值导入作为某个环境变量的值。 变量名称:工作负载中的环境变量名称,可自定义,默认为密钥中选择的键名。 变量/变量引用:选择一个密钥及需要导入的键名,将其对应的值导入为工作负载环境变量。 例如将mysecret这个密钥中“username”的值导
PVC存储费用:当前只统计云硬盘(EVS)类型存储费用,不支持对象存储类型(OBS)、本地持久卷、文件存储类型(SFS)、极速文件存储(SFS Turbo)。 节点成本按照CPU、内存进行成本拆分,暂不支持GPU、NPU等异构资源的拆分。如GPU类型的节点在拆分时,会出现CPU核时单价偏高。
伸缩范围。 前提条件 集群中已安装1.5.2及以上版本的CCE容器弹性引擎。 集群中已安装云原生监控插件,且开启监控数据上报至AOM服务,详情请参见云原生监控插件。 约束与限制 AHPA策略仅支持1.23及以上版本的集群。 1.19.10及以上版本集群中,如果使用HPA策略对挂载
限制对Docker守护进程的API请求。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2024-41110 严重 2024-07-25 漏洞影响 受影响版本中,攻击者可以使用Content-Length设置为0的API请求绕过权限
30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2021-30465 高 2021-05-31
访问凭证”获取,账号密码存放在“长期凭证名称.csv”文件中。 图1 添加密钥 创建工作负载时,单击“选择镜像”,选择“容器镜像服务 企业版”页签,在“所属实例”中选择SWR企业镜像仓库实例,并在“镜像访问凭证”选择1中创建的密钥。 图2 选择镜像和镜像访问凭证 填写其他参数后,单击“创建工作负载”。
访问凭证”获取,账号密码存放在“长期凭证名称.csv”文件中。 图1 添加密钥 创建工作负载时,单击“选择镜像”,选择“容器镜像服务 企业版”页签,在“所属实例”中选择SWR企业镜像仓库实例,并在“镜像访问凭证”选择1中创建的密钥。 图2 选择镜像和镜像访问凭证 填写其他参数后,单击“创建工作负载”。
S下单击“编辑”,进入插件详情页。 在“参数配置”下添加存根域。格式为一个键值对,键为DNS后缀域名,值为一个或一组DNS IP地址。本例中,配置为'content.internal --10.0.0.190'。 单击“确定”完成配置更新。 在左侧导航栏中选择“配置项与密钥”,在
集群ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 集群ID 默认取值: 不涉及 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 参数解释: 消息体的类型(格式) 约束限制: GET方法不做校验
进行图表的说明,其中图表中对于数值过大的字节(bytes)会换算为MB、KB、GB等。 指标说明 集群视图暴露的指标包括基础资源指标、网络指标和磁盘指标,具体说明如下: 图1 基础资源图表 表1 基础资源图表说明 指标名称 单位 说明 节点数 个 集群中的节点个数。 磁盘不可用节点数
v1.25.3-r0及以上版本中该参数弃用。 默认:5 HPA并发处理数 concurrent-horizontal-pod-autoscaler-syncs HPA弹性伸缩并发处理数。 v1.27以下版本集群中默认为1,v1.27及以上版本以下集群中默认为5 取值范围为1-50 Pod水平伸缩同步的周期
Hill-Daniel发现Linux内核中包含一个整数溢出漏洞,可导致写操作越界。本地攻击者可以使用这一点导致拒绝服务(系统崩溃)或执行任意代码,在容器场景下拥有CAP_SYS_ADMIN权限的用户可导致容器逃逸到宿主机。目前已存在poc,但尚未发现已公开的利用代码。 表1 漏洞信息 漏洞类型 CVE-ID
洞察成本数据会延迟2天显示。 使用成本洞察期间,要保证云原生监控插件运行正常,否则影响成本洞察中命名空间、工作负载、节点池等相关视图的呈现。 接入管理 登录CCE控制台,单击左侧导航栏中的“云原生成本治理”。 图1 云原生成本治理 单击“接入管理”,查看集群接入情况,并对剩余未接入集群进行接入。
检查安全组规则中是否包含Master和Node互通的安全组策略 请检查安全组规则中是否包含Master和Node互通的安全组策略。 已有集群添加节点时,如果子网对应的VPC新增了扩展网段且子网是扩展网段,要在控制节点安全组(即集群名称-cce-control-随机数)中添加如下三条
containerd开源社区中披露了一个漏洞,如果镜像具有恶意的属性,在容器内的进程可能会访问主机上任意文件和目录的只读副本,从而造成宿主机上敏感信息泄露。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2022-23648 中 2022-02-28
定时任务中的事件功能可直接单击工作负载操作栏中的“事件”按钮查看。 登录CCE控制台,进入一个已有的集群,在左侧导航栏中选择“工作负载”。 选择“无状态负载”页签,单击工作负载名称,可在“实例列表”中单击某个实例的“事件”按钮,查看该工作负载或具体实例的事件名称、事件类型、发生次
排查项五:检查安全组规则中是否包含Master和Node互通的安全组策略 请检查安全组规则中是否包含Master和Node互通的安全组策略。 已有集群添加节点时,如果子网对应的VPC新增了扩展网段且子网是扩展网段,要在控制节点安全组(即集群名称-cce-control-随机数)中添加如下三条
集群ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 集群ID 默认取值: 不涉及 node_id 是 String 节点ID,获取方式请参见如何获取接口URI中参数。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type
MIIWvw******' \ --data @nginx.json 请求中包含的Header参数如下: 表2 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 消息体的类型(格式),例如application/json X-Auth-Token
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
