检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建节点时password字段加盐加密的方法 通过API创建节点时password字段需要加盐加密,具体方法如下: 盐值需要根据密码的要求来设置,密码复杂度要求如下: 长度为8-26位。 密码至少必须包含大写字母、小写字母、数字和特殊字符(!@$%^-_=+[{}]:,./?)中的三种。
CCE集群支持使用KMS中创建的密钥加密Kubernetes Secret密钥。KMS加密过程基于Kubernetes提供的KMS Encryption Provider机制,使用信封加密的方式对存储在etcd中的Kubernetes Secret密钥进行自动加密和解密。详情请参考Kubernetes官方社区介绍。
Secret落盘加密特性兼容性检查异常处理 检查项内容 检查本次升级的目标版本是否支持Secret落盘加密特性,若不支持则不允许开启Secret落盘加密特性的集群升级至该版本。 解决方案 CCE从v1.27版本开始支持Secret落盘加密特性,开放该特性的版本号如下: v1.27集群:v1
“存储卷声明类型”选择“云硬盘”,并开启加密,并选择密钥。其余参数可根据情况按需填写,详情请参见通过动态存储卷使用云硬盘。 图1 加密存储卷 单击“创建”。 前往“存储卷声明”页面,查看加密云硬盘存储卷声明是否创建成功,并查看存储配置项是否显示已加密。 图2 PVC加密 在应用中使用加密PVC时,和使用普通PVC的方法一致。
OpenSSH远程代码执行漏洞公告(CVE-2024-6387) OpenSSH是一个基于SSH协议的安全网络通信工具,通过加密所有流量以消除窃听、连接劫持和其他攻击。此外,OpenSSH 还提供大量安全隧道功能、多种身份验证方法和复杂的配置选项,是远程服务器管理和安全数据通信的必备工具。
Secret是一种加密存储的资源对象,您可以将认证信息、证书、私钥等保存在Secret中,而不需要把这些敏感数据暴露到镜像或者Pod定义中,从而更加安全和灵活。 Secret与ConfigMap非常像,都是key-value键值对形式,使用方式也相同,不同的是Secret会加密存储,所以适用于存储敏感信息。
在CCE集群中使用密钥Secret的安全配置建议 当前CCE已为secret资源配置了静态加密,用户创建的secret在CCE的集群的etcd里会被加密存储。当前secret主要有环境变量和文件挂载两种使用方式。不论使用哪种方式,CCE传递给用户的仍然是用户配置时的数据。因此建议:
exvolume存储类(StorageClass名为ssd、sas、sata)创建的PVC,无法创建快照。 加密磁盘的快照数据以加密方式存放,非加密磁盘的快照数据以非加密方式存放。 使用场景 快照功能可以帮助您实现以下需求: 日常备份数据 通过对云硬盘定期创建快照,实现数据的日常
data中的一项来维护,配置更新过程中可能产生误覆盖等问题 密钥信息在落盘存储时会加密,但用户查询密钥时系统会解密后返回。因此,不能依赖密钥的加密机制保证用户态的信息安全,敏感信息需要用户额外加密后再配置到data字段, 否则可能导致敏感信息泄露等安全问题 父主题: 密钥
ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):私有访问密钥。与访问密钥ID结合使用,对请求进行加密签名,可标识发送方,并防止请求被修改。 使用AK/SK认证时,您可以基于签名算法使用A
带上这个标签才能在控制台上创建OBS PV/PVC时可见。 type 密钥类型,该值必须为cfe/secure-opaque 使用该类型,用户输入的数据会自动加密。 创建Secret。 kubectl create -f test-user.yaml 静态创建对象存储卷时指定挂载Secret 使用访
DEW) 插件简介 CCE密钥管理(原名dew-provider)插件用于对接数据加密服务(Data Encryption Workshop, DEW)。该插件允许用户将存储在集群外部(即专门存储敏感信息的数据加密服务)的凭据挂载至业务Pod内,从而将敏感信息与集群环境解耦,有效避免程序
DEW) 插件介绍 CCE密钥管理(dew-provider)插件用于对接数据加密服务(Data Encryption Workshop, DEW)。该插件允许用户将存储在集群外部(即专门存储敏感信息的数据加密服务)的凭据挂载至业务Pod内,从而将敏感信息与集群环境解耦,有效避免程序
为负载均衡类型的Service配置TLS TLS协议适用于需要超高性能和大规模TLS卸载的场景。您可以为Service配置TLS协议,转发来自客户端加密的TCP协议请求。 Service配置TLS协议依赖ELB能力,使用该功能前请确认当前区域是否支持使用TLS协议,详情请参见添加TLS监听器(独享型)。
s.io/dockerconfigjson。详细操作请参见创建密钥。 此处的“用户名”和“密码”请填写第三方镜像仓库的账号密码。 图1 添加密钥 创建工作负载时,可以在“镜像名称”中直接填写私有镜像地址,填写的格式为domainname/namespace/imagename:tag,并选择1中创建的密钥。
排查项三:集群Secret落盘加密使用的KMS密钥是否有效 问题现象 当出现集群不可用,您可以查看集群事件确认异常原因。 当集群事件中存在“KMS密钥状态异常”时,您需要确认该集群对应的使用的密钥状态是否被设置为“禁用”或“计划删除”。 解决方案 登录数据加密服务 DEW控制台。 在自
支持为工作负载实例设置独占CPU核的功能,详情请参见CPU管理策略。 Secret落盘加密 关闭:使用CCE本地托管密钥加密。 开启:使用您在KMS服务中托管的加密密钥加密。 创建后不可修改。详情请参见使用KMS进行Secret落盘加密。 说明: 该特性当前正处于上线阶段,已发布区域请以控制台实际为准。
建议将配置项与data中的键一一对应,避免将多项配置结构整体作为data中的一项来维护,配置更新过程中可能产生误覆盖等问题 Configmap没有加密等保护机制,请不要用来存放账号凭据等敏感信息,否则可能导致敏感信息泄露等安全问题 父主题: 配置项
双线或者后期有冗余专线接入请选择BGP模式。 BGP邻居ASN BGP邻居自治系统的标识。 当路由模式为BGP时,需要设置此参数。 BGP MD5认证密码 BGP邻居的MD5值即BGP密码。 当路由模式为BGP时,可设置此参数,两侧网关参数需保持一致。 字符长度为8~255,至少包含以下字符的两种:
EncryptionConfig 参数 参数类型 描述 mode String 参数解释: 加密模式,可以配置为使用cce本地密钥加密或KMS加密。 约束限制: 不涉及 取值范围: Default:使用cce本地密钥加密 KMS:使用KMS加密模式 默认取值: Default kmsKeyID String
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
