检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何批量修改集群node节点安全组? 约束与限制 一个安全组关联的实例数量建议不超过1000个,否则可能引起安全组性能下降。更多关于安全组的限制请参考安全组限制。 操作步骤 登录VPC控制台,并在左上角选择区域和项目。 在左侧导航树选择“访问控制 > 安全组”。 在安全组界面,单击操作列的“管理实例”。
secret中,一旦泄露可能导致安全风险。1.23版本以及以上版本CCE集群推荐使用Bound Servcie Account Token,该方式支持设置过期时间,并且和pod生命周期一致,可减少凭据泄露风险。例如: apiVersion: apps/v1 kind: Deployment
安全组”,在搜索框内输入集群名称,此时预期过滤出两个安全组: 安全组名称为“集群名称-node-xxx”,此安全组关联CCE用户节点。 安全组名称为“集群名称-control-xxx”,此安全组关联CCE控制节点。 图1 查看集群安全组 单击用户节点安全组,确保含有如下规则允许Master节点使用ICMP协议访问节点。
密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 CCE服务安全责任共担模型 父主题: 安全
数据保护技术 CCE通过多种数据保护手段和特性,保障数据的安全可靠。 表1 CCE的数据保护手段和特性 数据保护手段 简要说明 详细介绍 服务发现支持证书配置 CCE集群中的应用服务支持使用HTTPS传输协议,保证数据传输的安全性,您可以根据需求创建四层或七层的访问方式来对接负载均衡器。
安全组ID,数量不多于5个,多个安全组之间以英文逗号分隔。 yangtse.io/additional-security-group-ids 为Pod添加安全组配置,即在已有的配置上增加指定的安全组。 安全组ID,安全组ID数量和已有的安全组数量相加不多于5个,多个安全组之间以英文逗号分隔。
正在使用过低的client-go版本情况,此时请您排查自己部署的应用中是否有该情况出现。如果存在,则尽快将client-go版本升级至社区指定的版本之上(至少不低于CCE集群的两个大版本,如部署在1.23集群上的应用需要使用1.19版本以上的Kubernetes依赖库)。 父主题:
ServiceAccount Token安全性提升说明 发布时间:2022/11/24 Kubernetes 1.21及以上版本的集群中,Pod将不再自动挂载永久Token,默认使用TokenRequest API获得Token,并使用投射卷(Projected Volume)挂载到Pod中。
集群网络地址段规划实践 创建集群时,会自动新建并绑定默认安全组,支持根据业务需求设置自定义安全组规则。 部署 安全组是重要的安全隔离手段,不当的安全策略配置可能会引起安全相关的隐患及服务连通性等问题。 如何设置安全组? 如何加固CCE集群的节点VPC安全组规则? 使用多控制节点模式,创建集群时将控制节点数设置为3。
在左侧导航栏中选择“总览”,查看“网络信息”,单击“节点默认安全组”,跳转到安全组页面。 选择“入方向规则”,并根据源地址过滤容器子网网段,找到对应的安全组规则。 单击“删除”,删除关联的子网安全组规则。 父主题: 网络指导
问题根因 该场景引起的原因是集群关联的安全组中存在未删除的资源,该安全组无法删除,最终导致了集群删除失败。 操作步骤 复制报错信息中的资源ID,进入到VPC服务的安全组界面,根据ID过滤安全组。 单击进入安全组详情界面,选择关联实例页签。 查询该安全组关联的其他资源,例如服务器、弹性
创建业务Pod。这里以创建一个nginx应用为例。 apiVersion: apps/v1 kind: Deployment metadata: name: nginx-deployment-k8s-secrets labels: app: nginx-k8s-secrets
容器镜像签名验证插件(原名swr-cosign)提供镜像验签功能,可以对镜像文件进行数字签名验证,以确保镜像文件的完整性和真实性,有效地防止软件被篡改或植入恶意代码,保障用户的安全。 约束与限制 使用镜像验签功能依赖容器镜像仓库企业版,请先创建一个企业版仓库。 安装插件 登录CCE控制台,单击集群名称进入集群,单击左
Kubernetes安全漏洞公告(CVE-2020-8554) 漏洞详情 CVE-2020-8554是Kubernetes社区发现的关于集群内网络流量劫持的安全问题。具有创建和更新Service和Pod对象权限的潜在攻击者,能够劫持集群内来自其他Pod或者节点的流量。潜在攻击者通过设置Service对象的spec
Kubernetes安全漏洞公告(CVE-2024-10220) Kubernetes社区近日公布了一个安全漏洞(CVE-2024-10220),该漏洞使得具有创建Pod权限的攻击者能够通过部署配置了gitRepo卷的Pod来执行容器外的任意命令。攻击者可以利用目标Git仓库中的
Kubernetes安全漏洞公告(CVE-2022-3172) 漏洞详情 Kubernetes社区在 kube-apiserver 中发现了一个安全问题,该问题允许聚合 API Server将客户端流量重定向到任意 URL,这可能导致客户端执行意外操作以及将客户端的 API 服务器凭据转发给第三方。
新建TLS密钥时,对应位置导入证书及私钥文件即可。 验证 通过浏览器访问Ingress地址可以正常访问,但因为是自己签发的证书和密钥,所以CA不认可,显示不安全。 图2 验证结果 父主题: 安全加固
端口的安全组规则,加固集群的访问控制策略。 登录CCE控制台,单击集群名称进入集群,在总览页面找到“集群ID”并复制。 登录VPC控制台,在左侧导航栏中选择“访问控制 > 安全组”。 在筛选栏中,选择筛选条件为“描述”,并粘贴集群ID进行筛选。 筛选结果中将会包含多个安全组,找到
而Pod Security Admission则是这些安全性标准的控制器,用于在创建Pod时执行定义好的安全限制。 Pod安全性标准定义了三种安全性策略级别: 表1 Pod安全性策略级别 策略级别(level) 描述 privileged 不受限制,通常适用于特权较高、受信任的
集群节点如何不暴露到公网? 问题解决: 如果不需要访问集群节点的22端口,可在安全组规则中禁用22端口的访问。 如非必须,集群节点不建议绑定EIP。 如有远程登录集群节点的需求,推荐使用华为云堡垒机服务作为中转连接集群节点。 父主题: 安全加固
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
