检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
排查节点所在集群的子网是否配置了网络ACL,并限制了外部访问。 排查项三:检查容器DNS配置 在容器中执行cat /etc/resolv.conf命令,查看DNS配置。示例如下: nameserver 10.247.x.x search default.svc.cluster.local
执行以下命令,创建一个挂载云硬盘存储的应用。 kubectl apply -f web-evs-auto.yaml 工作负载创建成功后,容器挂载目录下的数据将会持久化保持,您可以参考验证数据持久化中的步骤进行验证。 验证数据持久化 查看部署的应用及云硬盘文件。 执行以下命令,查看已创建的Pod。
#已创建的PVC名称 执行以下命令,创建一个挂载对象存储的应用。 kubectl apply -f web-demo.yaml 工作负载创建成功后,您可以尝试验证数据持久化及共享性。 验证数据持久化及共享性 查看部署的应用及文件。 执行以下命令,查看已创建的Pod。 kubectl
群的步骤如下: 下载kubectl 您需要准备一台可访问公网的客户端计算机,并通过命令行方式安装kubectl。如果已经安装kubectl,则跳过此步骤,您可执行kubectl version命令判断是否已安装kubectl。 本文以Linux环境为例安装和配置kubectl,详情请参考安装kubectl。
Server不安全端口,可以将--insecure-port=0添加到kubernetes API服务器命令行来禁用端口。 如集群内运行有不受信的容器,需要manifest文件中关闭CAP_NET_RAW能力,可执行如下命令: securityContext: capabilities:
修改节点系统参数具有一定的风险,需要您对Linux命令和Linux系统知识具有较高程度的了解,避免误操作引起节点故障。 表1中的参数已经过测试验证,请勿自行修改其他参数以免引起节点故障。 修改节点系统参数的命令仅在使用公共镜像时有效,使用私有镜像时本文中提供的命令仅供参考。 节点重启后需执行sysctl
#已创建的PVC名称 执行以下命令,创建一个挂载极速文件存储的应用。 kubectl apply -f web-demo.yaml 工作负载创建成功后,您可以尝试验证数据持久化及共享性。 验证数据持久化及共享性 查看部署的应用及文件。 执行以下命令,查看已创建的Pod。 kubectl
如果CCE AI套件(NVIDIA GPU)插件版本大于等于2.0.0,请登录GPU节点执行以下命令: nvidia-container-runtime --version 若显示无此命令,则不涉及该漏洞。 若显示nvidia-container-runtime版本低于1.16.2,则涉及该漏洞。
件,因为这些权限可能被恶意利用来提升权限。同时,考虑移除那些可能被用于恶意目的的Shell工具和应用程序,如nc和curl。您可以使用以下命令找到带有SETUID和SETGID位的文件: find / -perm /6000 -type f -exec ls -ld {} \;
"Terminating" } 如果仍然无法删除命名空间,请查看metadata部分是否存在finalizers字段,如果存在,需要通过如下命令进入命名空间后删除该字段: kubectl edit ns rdbms 集群证书获取方法请参见获取集群证书。 https://x.x.x.
您已经创建好一个集群,并且在该集群中安装CCE容器存储(Everest)。 已在数据加密服务(DEW)中创建可用密钥,操作详情请参见创建密钥。 如果您需要通过命令行创建,需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。 通过控制台使用 登录CCE控制台,单击集群名称进入集群。
当前CCE采用华为优化的Docker容器,未启用Docker的AuthZ插件,因此不会触发该漏洞。 判断方法 您可以在节点上执行命令查看Docker使用的插件。 容器引擎为Docker的节点,执行以下命令: ps –elf | grep docker 显示如下: 其中没有设置--authorization
在同集群、同操作系统的节点上进行脚本命令可行性的测试,在节点上手动执行命令,确认脚本命令可行。手动执行脚本命令请参考修改节点RuntimeMaxUse。 (以下命令需在手动执行命令验证成功后配置)在创建节点或节点池时,在“高级配置 > 安装后执行脚本”中添加可执行的脚本命令。 登录节点查看/etc/systemd/journald
在弹出窗口中选择要登录的容器以及命令,然后单击“确定”。 图2 选择登录的容器与命令 页面会自动跳转到CloudShell,并初始化启动kubectl,然后自动执行kubectl exec命令登录到容器。 请等待kubectl exec 命令自动执行后再操作,此命令出现需要一段时间 5-10秒。
t访问权限。CCE节点镜像不使用Kubernetes Image Builder构建,不受该漏洞的影响。 判断方法 您可以在节点上执行以下命令: id builder 如果节点不存在builder用户则不受该漏洞影响。 漏洞修复方案 CCE公共镜像不受该漏洞影响,建议用户不要使用受漏洞影响的Kubernetes
配置中的环境变量错误。例如将command拼写成commnd,仍然能够使用该YAML文件创建工作负载,但是容器在运行时,却不会使用您原本期望的命令,而是执行了镜像中的EntryPoint默认命令。 解决方案 查看Pod的配置,确定Pod中容器的配置是否符合预期。具体操作,请参见Pod配置查看方法。 排查环境
在CCE的“集群管理”界面查看集群的容器网段和内网apiserver地址。 设置容器网络流量访问规则。 CCE集群:以root用户登录集群的每一个Node节点,执行以下命令: VPC网络: iptables -I OUTPUT -s {container_cidr} -d {内网apiserver的IP} -j
确认配置文件是否修改成功,执行以下命令无回显。 grep "kernel.printk" /etc/sysctl.conf 重新配置kernel.printk参数。 x86_64版本: 执行以下命令: sysctl -w kernel.printk="4 4 1 7" 检查修改是否成功,执行以下命令: sysctl
对于Huawei Cloud EulerOS 2.0、Ubuntu 22.04、EulerOS 2.9、EulerOS 2.10操作系统,采用如下命令查看内核版本: uname -a 若查询结果在3.15-6.8之间,则受该漏洞影响。 漏洞消减方案 建议容器工作负载设置seccomp,示例如下:
-qa | grep docker | grep euleros命令,如果结果不为空,说明节点上使用的docker为Euler-docker。 执行stat /run/containerd/containerd.sock命令,若发现存在该文件则会导致docker启动失败。 执行rm -rf
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
