检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
nginx-ingress插件安全漏洞预警公告(CVE-2021-25748) 漏洞详情 Kubernetes开源社区中披露了1个ingress-nginx漏洞,用户通过Ingress 对象的“spec.rules[].http.paths[].path”字段可以获取ingress-controller
成功利用此漏洞可能会导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 判断方法 如果集群未安装CCE AI套件(NVIDIA GPU)插件或插件版本低于2.0.0,则不涉及该漏洞。
Kubernetes安全漏洞公告(CVE-2024-9486,CVE-2024-9594) Kubernetes安全响应委员会披露了Kubernetes Image Builder中的两个安全漏洞(CVE-2024-9486和CVE-2024-9594),这些漏洞可能允许攻击者获得对虚拟机
CoreDNS域名解析插件版本发布记录 表1 CoreDNS域名解析插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.30.6 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 支持Corefile配置 适配CCE v1.30集群 1.10.1
CCE容器弹性引擎插件版本发布记录 表1 CCE容器弹性引擎插件版本记录 插件版本 支持的集群版本 更新特性 1.5.3 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 支持AHPA 1.4.30 v1.21 v1.23 v1.25 v1.27 v1.28
Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110) Docker是一个开源的应用容器引擎,Docker Engine是Docker可移植的容器运行时,而Docker的AuthZ插件可用于控制和限制对Docker守护进程的API请求。 漏洞详情
而Serverless是一种架构理念,是指不用创建和管理服务器、不用担心服务器的运行状态(服务器是否在工作等),只需动态申请应用需要的资源,把服务器留给专门的维护人员管理和维护,进而专注于应用开发,提升应用开发效率、节约企业IT成本。
- 合理设置“亲和性”和“反亲和性” 可靠性 对外提供服务的应用,如果以“或”的关系同时配置“亲和性”和“反亲和性”,应用升级或者重启后,会概率出现服务无法访问的问题。
通过配置kubeconfig文件实现集群权限精细化管理 问题场景 CCE默认的给用户的kubeconfig文件为cluster-admin角色的用户,相当于root权限,对于一些用户来说权限太大,不方便精细化管理。 目标 对集群资源进行精细化管理,让特定用户只能拥有部分权限(如:增
弹性云服务器-物理机:基于擎天架构的服务器部署容器服务。 裸金属服务器:基于裸金属服务器部署容器服务,需要挂载本地盘或支持挂载云硬盘。 CCE Turbo集群: 弹性云服务器-虚拟机:基于弹性云服务器部署容器服务,仅支持可添加多张弹性网卡的机型。
NGINX Ingress控制器插件版本发布记录 表1 NGINX Ingress控制器插件3.0.x版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 3.0.8 v1.27 v1.28 v1.29 v1.30 更新至社区v1.11.2版本 修复CVE-2024-7646
GPU事件上报AOM字段特殊处理 1.3.6 v1.17 v1.19 v1.21 v1.23 v1.25 v1.27 - 1.3.4 v1.17 v1.19 v1.21 v1.23 v1.25 v1.27 支持v1.27集群 默认不再上报标准输出和Kubernetes事件到云日志服务
runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465) 漏洞详情 业界安全研究人员披露runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。
漏洞修复方案 使用可信的镜像,避免使用来源不明的第三方镜像,推荐使用容器镜像服务SWR。 CCE已提供大于1.4.1-96的containerd版本,请迁移至符合要求的节点。
CCE突发弹性引擎(对接CCI)插件版本发布记录 表1 CCE突发弹性引擎(对接CCI)插件版本记录 插件版本 支持的集群版本 更新特性 1.5.16 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 仅进行Pod级别CPU和Memory资源规整
Ingress中配置的全局会话保持可以被服务中的会话保持模式覆盖。
漏洞修复方案 不使用未知来源的镜像,推荐使用容器镜像服务SWR。
Kubernetes 1.9的集群版本升级公告 发布时间:2020/12/07 根据CCE发布的Kubernetes版本策略中的版本策略,CCE将在近期停止Kubernetes 1.9的集群版本的维护,为了能够更好地方便您使用云容器引擎服务,确保您使用稳定又可靠的Kubernetes
恢复kubelet和containerd运行时服务。
步骤1:创建工作负载,并通过Ingress对外暴露服务 在cluster-1集群中部署应用,并测试访问。 复制以下文件保存到nginx-deploy.yaml文件。