检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
集群日常管理实践 预防集群过载的配置建议 CCE集群高可用推荐配置 通过kubectl对接多个集群 集群视角的成本可视化最佳实践 集群安全实践 CCE集群安全配置建议 集群迁移实践 将K8s集群迁移到CCE 父主题: 集群
CCE集群控制面已经通过安全组进行防护,只允许从租户节点或者相邻节点访问安全端口,默认安全。 集群node节点上系统组件监听在127.0.0.1的端口只涉及健康检查、监控信息查询等请求,不会有信息泄露风险。 综上,该CVE对CCE集群影响不大。 漏洞修复方案 目前官方已提供安全版本修复了该漏洞,请受影响的用户升级至以下安全版本。
3协议的套件(即支持ecc又支持rsa) 配置建议: 在加密套件支持的情况下,请尽量使用安全级别高的安全策略 缺省支持的安全策略为tls-1-2,客户端需配合支持安全策略类型 自定义安全策略 路由对接的监听器使用的自定义安全策略的ID 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation:
登录节点 前提条件 使用SSH方式登录时,请确认节点安全组已放通SSH端口(默认为22)。详情请参见配置安全组规则。 通过公网使用SSH方式登录时要求该节点(弹性云服务器 ECS)已绑定弹性公网IP。 只有运行中的弹性云服务器才允许用户登录。 Linux操作系统用户名为root。
Gatekeeper是一个基于开放策略(OPA)的可定制的云原生策略控制器,有助于策略的执行和治理能力的加强,在集群中提供了更多符合Kubernetes应用场景的安全策略规则。 开源社区地址:https://github.com/open-policy-agent/gatekeeper 使用方式:htt
25以下集群需执行)创建Pod安全策略。 在v1.25以下的CCE集群中kube-apiserver开启了Pod安全策略,需要在Pod安全策略的allowedUnsafeSysctls中增加net.core.somaxconn配置才能生效。关于CCE的安全策略介绍请参见Pod安全策略配置。 示例如下:
制作镜像时,要求制作镜像的文件在同个目录下。 使用云服务 容器镜像服务SWR:是一种支持容器镜像全生命周期管理的服务, 提供简单易用、安全可靠的镜像管理功能,帮助用户快速部署容器化服务。 基本概念 镜像:Docker镜像是一个特殊的文件系统,除了提供容器运行时所需的程序、库、
Kubernetes安全漏洞公告(CVE-2022-3172) Linux Kernel openvswitch 模块权限提升漏洞预警(CVE-2022-2639) nginx-ingress插件安全漏洞预警公告(CVE-2021-25748) nginx-ingress插件安全漏洞预警公
Secret是一种加密存储的资源对象,您可以将认证信息、证书、私钥等保存在Secret中,而不需要把这些敏感数据暴露到镜像或者Pod定义中,从而更加安全和灵活。 Secret与ConfigMap非常像,都是key-value键值对形式,使用方式也相同,不同的是Secret会加密存储,所以适用于存储敏感信息。
购买集群 集群类型对比 购买Standard/Turbo集群 在CCE Turbo集群中使用分布式云资源 使用KMS进行Secret落盘加密 iptables与IPVS如何选择 父主题: 集群
根据基础资源指标进行弹性伸缩:需将Prometheus注册为Metrics API的服务,详见通过Metrics API提供基础资源指标。 根据自定义指标进行弹性伸缩:需要将自定义指标聚合到Kubernetes API Server,详情请参见使用自定义指标创建HPA策略。 Promet
2之前的版本中,攻击者若具备在Kubernetes集群中创建Ingress对象(属于networking.k8s.io或extensions API 组)的权限,可能绕过注解验证并注入任意命令,从而获取ingress-nginx控制器的凭证,并访问集群中的所有敏感信息。 判断方法 若CCE集群中安装了NGINX
Sharing)提供了一种安全的方式来绕过这个限制,允许跨域请求。 使用CORS允许跨域访问的场景较多,可能的场景如下: 前后端分离:前端应用部署在一个域名下(如 app.example.com),而后端API服务使用另一个域名(如 api.example.com),前端应用在尝试从API服务获取
tes集群所需要的认证凭据以及Endpoint(访问地址),详细介绍可参见Kubernetes文档。 -s, --api-server:Kubernetes API Server URL,默认是""。 -q, --context:Kubernetes Configuration Context,默认是""。
器指定的挂载点中,如容器需要访问/etc/hosts则可以使用HostPath映射/etc/hosts等场景。 HostPath卷存在许多安全风险,最佳做法是尽可能避免使用HostPath。 当必须使用HostPath卷时,它的范围应仅限于所需的文件或目录,并以只读方式挂载。 当
VPC”,单击左侧导航栏的“访问控制 > 安全组”,找到集群控制节点的安全组。 控制节点安全组名称为:集群名称-cce-control-编号。 单击安全组名称,进入详情页面,请确保集群控制节点的安全组规则的正确性。 安全组的详细说明请参见集群安全组规则配置。 排查项二:集群是否过载 问题现象
CustomResourceDefinition资源不再支持apiextensions.k8s.io/v1beta1 API。如果使用旧版本API创建自定义资源定义,会导致定义创建失败,进而影响调和(reconcile)该自定资源的控制器,请尽快使用apiextensions.k8s.io/v1替代
CustomResourceDefinition资源不再支持apiextensions.k8s.io/v1beta1 API。如果使用旧版本API创建自定义资源定义,会导致定义创建失败,进而影响调和(reconcile)该自定资源的控制器,请尽快使用apiextensions.k8s.io/v1替代。
security_policy_id 否 String ELB中自定义安全组策略ID,请前往ELB控制台获取。该字段仅在HTTPS协议下生效,且优先级高于默认安全策略。 自定义安全策略的创建、更新步骤请参见TLS安全策略。 kubernetes.io/elb.tls-ciphers-policy
Interface,简称Sub-ENI)的能力,将Pod直接绑定弹性网卡或辅助弹性网卡,使每个Pod在VPC内均拥有独立的IP地址,且支持ELB直通容器、Pod绑定安全组、Pod绑定弹性公网IP等特性。由于不需要使用容器隧道封装和NAT地址转换,云原生网络2.0模型与容器隧道网络模型和VPC网络模型相比具有比较高的网络性能。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
