检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
containerd容器进程权限提升漏洞公告(CVE-2022-24769) 漏洞详情 containerd开源社区中披露了一个安全漏洞,在containerd创建容器的场景,非root容器进程的初始inheritalbe capability不为空,可能会造成在execve执行
inspecti <镜像ID> 图2 有安全风险的镜像配置示例 漏洞修复方案 规避措施: 配置工作负载的WORKDIR为固定目录。 若未设置工作负载WORKDIR目录,需确保工作负载使用的容器镜像来源可信。 执行以上规避措施前前请评估对业务的影响,并进行充分测试。 修复方案:
请确保后端服务器具有解析ProxyProtocol协议的能力,否则可能导致业务中断,请谨慎开启。 安全策略:当监听器端口启用TLS时,支持选择可用的安全策略,更多信息请参见安全策略。v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。
PU和内存用量均值、峰值和标准差,并基于Pod的这些统计特征值,进一步计算节点的CPU和内存用量评估值。 超卖量的计算算法:节点资源超卖量 = (节点资源分配量 - 节点资源用量评估值) * 超卖比例 超卖量会周期性更新到节点的annotation中,以便Volcano sche
件 appender.rolling.name = RollingFileAppender appender.rolling.type = RollingFile appender.rolling.append = false appender.rolling
持续集成及持续部署 在本方案中,需要在通过 code push 事件中触发 Jenkins 进行编译打包,通过邮件审批之后,将应用部署到 Kubernetes 集群中。 安装Jenkins插件 除了前文安装 Jenkins 时默认安装的插件外,还需要安装 GitLab Plugin,Kubernetes
控自定义指标。 本文将通过一个Nginx应用的示例演示如何使用Prometheus监控自定义指标,步骤如下: 安装并访问云原生监控插件 CCE提供了集成Prometheus功能的插件,支持一键安装。 准备应用 您需要准备一个应用镜像,该应用需要提供监控指标接口供Prometheu
约成本。 业务上云、数据本地托管 对于金融、医疗等行业用户,由于安全合规要求,敏感数据要求存储在本地IDC中,而一般业务由于高并发、快响应等方面的特点需要部署在云上,并需要进行统一管理。 开发与部署分离 出于IP安全的考虑,用户希望将生产环境部署在公有云上,而将开发环境部署在本地的IDC。
selector: app: test-app type: ClusterIP 部署test-app和对应Service。 kubectl apply -f test-app.yaml 创建应用sample-app和对应Service。 创建sample-app.yaml文件。
tfs不同具有两种划分方式(以100G大小为例):Device Mapper类型和OverlayFS类型。不同操作系统对应的容器存储Rootfs请参见操作系统与容器存储Rootfs对应关系。 Device Mapper类型存储Rootfs 其中默认占90%的容器引擎和容器镜像空间又可分为以下两个部分:
有调用相同路径,均可访问共享的对象存储数据。 公共/私有网络:对象存储数据允许在公网访问,满足互联网应用需求。 容量与性能:容量无限制,性能较高(IO读写时延10ms级)。 应用场景:适用于(基于OBS界面、OBS工具、OBS SDK等)的一次上传共享多读(ReadOnlyMan
Autoscaler检测未调度Pod进行扩容时,使用的是与Kubernetes社区版本一致的调度算法进行模拟调度计算,若应用调度采用非内置kube-scheduler调度器或其他非Kubernetes社区调度策略,此类应用使用Autoscaler扩容时可能因调度算法不一致出现无法扩容或多扩风险。 缩容流程:Au
Secret是一种加密存储的资源对象,您可以将认证信息、证书、私钥等保存在Secret中,而不需要把这些敏感数据暴露到镜像或者Pod定义中,从而更加安全和灵活。 Secret与ConfigMap非常像,都是key-value键值对形式,使用方式也相同,不同的是Secret会加密存储,所以适用于存储敏感信息。
CCE集群控制面已经通过安全组进行防护,只允许从租户节点或者相邻节点访问安全端口,默认安全。 集群node节点上系统组件监听在127.0.0.1的端口只涉及健康检查、监控信息查询等请求,不会有信息泄露风险。 综上,该CVE对CCE集群影响不大。 漏洞修复方案 目前官方已提供安全版本修复了该漏洞,请受影响的用户升级至以下安全版本。
容器网段入方向的安全组规则或防火墙。具体请参见安全组配置示例。 如果使用VPN或“对等连接”等方式打通了小网通信,需要在中间路上和目的地,都需要在对等连接添加容器网段的路由。 “云原生网络2.0”模型的集群需要根据业务诉求放通容器关联的安全组,容器关联的默认安全组名称为{集群名}
y。 VPC网络模式:不支持 Pod可直接关联安全组,基于安全组的隔离策略,支持集群内外部统一的安全隔离。 Pod可直接关联安全组,基于安全组的隔离策略,支持集群内外部统一的安全隔离。 安全隔离性 普通容器:Cgroups隔离 安全容器:当前仅物理机支持,提供虚机级别的隔离 普通容器:Cgroups隔离
创建节点时使用OBS桶实现自定义脚本注入 应用现状 对于需要在节点上提前安装一些工具或者做用户自定义的安全加固等操作时,需要在创建节点的时候注入一些脚本。CCE创建节点提供了Kubernetes安装前和安装后两处注入脚本的功能。但是使用通常碰到如下限制: 注入脚本的字符有限。 各
用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件(kubeconfig),以下场景认证文件传递过程中均存在安全泄露风险,应在实际使用中注意。 场景一 如果某IAM子用户先配置了集群管理权限和命名空间权限,然后在界面下载kubeconfig认证文件。
Linux内核整数溢出漏洞(CVE-2022-0185) 漏洞详情 国外安全研究人员William Liu和Jamie Hill-Daniel发现Linux内核中包含一个整数溢出漏洞,可导致写操作越界。本地攻击者可以使用这一点导致拒绝服务(系统崩溃)或执行任意代码,在容器场景下拥
修复Docker操作系统命令注入漏洞公告(CVE-2019-5736) 漏洞详情 Docker、containerd或者其他基于runc的容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
