检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Istiod TLS证书密钥滥用(CVE-2021-34824) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 TLS证书密钥滥用 CVE-2021-34824 2021-06-24 影响评分 9.1 高危 触发场景 同时满足下列三个条件: Istio版本为1
已经创建和原网格网关同规格的ELB实例。 创建Ingress资源 证书secret从istio-system空间迁移到业务命令空间,可使用如下命令: kubectl -nistio-system get secret {证书名} -oyaml > /tmp/{证书名}.yaml 进行如下修改: kubectl
对外协议为TLS时,可选择开启/关闭TLS终止。开启TLS终止时需要绑定证书,以支持TLS数据传输加密认证;关闭TLS终止时,网关将直接转发加密的TLS数据。 密钥证书 配置TLS协议并开启TLS时,需要绑定证书,以支持TLS数据传输加密认证。 配置HTTPS协议时,需要绑定密钥证书。 TLS最低版本/TLS最高版本
ERMISSIVE)的对端认证策略。 严格模式(STRICT) 流量只能通过隧道进行传输,因为请求必须是TLS加密的密文,且必须带有客户端证书。 JWT认证 在服务网格中配置JWT(JSON Web Token)请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access
支持通过YAML方式配置正则匹配规则,修改VirtualService配置文件即可: ... http: - delegate: name: nginx-80 namespace: default match: - uri:
restart deployment nginx -n default 其中,nginx为示例服务,default为命名空间,请替换为实际取值。 执行以下命令,确认Pod重启成功。 kubectl get pod -n default | grep nginx 执行以下命令,确认Pod正常添加了postStart
级别的安全性。 多集群安全:在多集群场景下ASM提供了全局的服务访问安全。多个集群的网格共享一套根证书,给数据面的服务实例分发密钥和证书对,并定期替换密钥证书,根据需要撤销密钥证书。在服务间访问时,网格的数据面代理就会代理本地服务和对端进行双向认证、通道加密。这里的双向认证的服务
重启业务服务Pod,多实例滚动升级不会断服。 方法二:调整网格中的某个服务 修改服务的yaml文件。 kubectl edit deploy <nginx> -n <namespace> 在spec.template.metadata.annotations下添加如下配置(大小仅供参考,请自行替换)。
kube-system 以及 kube-public 命名空间中的 Pod 将忽略 Sidecar 自动注入。 可能原因:确保Pod 定义中没有 hostNetwork:true。 hostNetwork:true 的 Pod 将忽略 Sidecar 自动注入。 父主题: 网格管理
1.3版本特性 基于Mixer的Metric、访问日志和调用链 支持SDS,证书轮换无需重启Pod 支持Sidecar API 控制面性能优化 华为私有版本Virtual Service Delegation上线,提前为大客户提供解耦Gateway流量配置 支持v1.13、v1.15、v1
开放在负载均衡服务地址的端口,可任意指定。 转发策略配置 域名 请填写组件对外发布域名。不配置访问地址默认为负载均衡实例IP地址。如果您开启了TLS认证,则必须填写证书内认证域名,以完成SNI域名校验。 URL匹配规则 前缀匹配:例如映射URL为/healthz,只要符合此前缀的URL均可访问。例如/he
协议端口:选择“基本协议/全部协议”。 源地址:填写1中获取的CCE集群的容器网段。 结果验证 以场景二为例,在CCE集群中访问Turbo集群中的服务(假设为nginx-turbo),访问成功的回显示例如下: 图1 访问成功示例 父主题: 网格管理
虚拟机需放通安全组,入方向需添加到<cluster-name>-cce-control安全组的规则,否则ping不通Pod IP。 获取根证书 通过kubectl访问CCE集群。 登录云容器引擎控制台,在“集群管理”页面单击集群名称,进入集群详情页。 在“连接信息”区域找到kub
无状态工作负载(即Kubernetes中的“Deployments”):Pod之间完全独立、功能相同,具有弹性伸缩、滚动升级等特性。如:Nginx、WordPress。 有状态工作负载(即Kubernetes中的“StatefulSets”):Pod之间不完全独立,具有稳定的持久化
yaml 若出现“Error from server (AlreadyExists): xxxxx already exists” 已存在的报错则忽略。 删除新版本无用配置。 若源版本是1.6企业版则执行如下命令: kubectl -nistio-system delete svc istiod-remote
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
务诉求来进行相应的配置,以Nginx为例。 kubectl get deploy nginx -n namespace_name -oyaml | grep lifec -a10 在“lifecycle”下的“preStop”中,定义了一个命令nginx -s quit; sleep
定、业务代码无侵入 √ √ √ 应用网关 支持四层协议对外访问、支持七层协议对外访问、支持入口路径映射、支持网关处TLS终止,支持配置对外证书和密钥 √ √ √ 负载均衡 支持轮询、随机、最小连接数以及一致性哈希的LB算法,可以基于特定的HTTP Header,或者基于Cookie值
定、业务代码无侵入 √ √ √ 应用网关 支持四层协议对外访问、支持七层协议对外访问、支持入口路径映射、支持网关处TLS终止,支持配置对外证书和密钥 √ √ √ 负载均衡 支持轮询、随机、最小连接数以及一致性哈希的LB算法,可以基于特定的HTTP Header,或者基于Cookie值
其中{revision} 为版本号,如1-13-9-r5),并重启部分pod进行测试,若无问题,则可以全部切换。 1.3和1.6版本升级到1.8版本,因为证书切换,sidecar需要同时全部重启。 数据面升级结束后,请等待所有升级中的工作负载滚动升级完成。 父主题: 金丝雀升级
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
