-
漏洞公告 - 华为云UCS
漏洞公告 HTTP/2协议拒绝服务漏洞公告(CVE-2023-4487) runC漏洞对UCS服务的影响说明(CVE-2024-21626)
-
HTTP/2协议拒绝服务漏洞公告(CVE-2023-4487) - 华为云UCS
表1 漏洞信息 漏洞名称 CVE-ID 漏洞级别 披露/发现时间 HTTP/2 协议拒绝服务漏洞 CVE-2023-44487 高 2023-10-10 漏洞影响 此漏洞为拒绝服务类型漏洞,不影响数据安全,但恶意攻击者可能通过此漏洞造成服务器拒绝服务,导致服务器宕机。 漏洞修复方案
-
runC漏洞对UCS服务的影响说明(CVE-2024-21626) - 华为云UCS
漏洞(CVE-2024-21626)。由于内部文件描述符泄漏,攻击者可通过控制容器进程的工作目录,或命令路径,将其设置为文件描述符的父级目录下的路径,读写主机任意文件,实现容器逃逸。 表1 漏洞信息 漏洞名称 CVE-ID 漏洞级别 披露/发现时间 runC漏洞 CVE-2024-21626
-
k8sdisallowedtags - 华为云UCS
k8sdisallowedtags 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: tags:字符串数组 exemptImages:字符串数组 作用 约束容器镜像tag。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,pararmeters中表示不允许容器镜像tag为latest。
-
k8sdisallowanonymous - 华为云UCS
k8sdisallowanonymous 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:RoleBinding、ClusterRoleBinding 参数: allowedRoles:字符串数组 作用 不允许将白名单以外的ClusterRole和Role关联到system:anonymous
-
安装前检查 - 华为云UCS
管理节点执行上述操作。 主机最小化安装要求 不使用的软件包不允许存在系统中 遵循最小化安装原则,只安装业务需要的软件包与服务组件。减少系统漏洞,降低系统遭受攻击风险。 用于生产环境的系统中不允许保留开发和编译工具 系统中不允许存在如下开发工具和编译工具: 'cpp' (/usr/bin/cpp)
-
设置容器健康检查 - 华为云UCS
sh。究其原因是集群在执行容器里的程序时,不在终端环境下。 公共参数说明 表1 公共参数说明 参数 参数说明 检测周期(periodSeconds) 探针检测周期,单位为秒。 例如,设置为30,表示每30秒检测一次。 延迟时间(initialDelaySeconds) 延迟检查时间,单位为秒,此设置与业务程序正常启动时间相关。
-
设置容器健康检查 - 华为云UCS
错误的端口、应用未实现健康检查协议等。 公共参数说明 表1 公共参数说明 参数 参数说明 检测周期(periodSeconds) 探针检测周期,单位为秒。 例如,设置为30,表示每30秒检测一次。 延迟时间(initialDelaySeconds) 延迟检查时间,单位为秒,此设置与业务程序正常启动时间相关。
-
Cilium概述 - 华为云UCS
为容器提供网络互通:Cilium通过为每个容器分配一个独特的IP地址来实现容器间的网络互通,同时支持多种网络协议。 具备网络安全检测能力:Cilium支持通过集成第三方的网络安全检测服务,如Snort等,来进行网络流量分析和检测。 自动进行容器安全策略管理:Cilium通过基于Kubernetes 的自定义资源定义(
-
FederatedHPA工作原理 - 华为云UCS
controller设置了以下功能: 稳定窗口 在监控到指标数据达到期待值(即满足伸缩标准)时,HPA controller会在所设定的稳定窗口期内持续检测,如果检测结果显示该时间段内的指标数据持续达到期待值,才会进行伸缩。默认扩容稳定窗口时长为0秒,缩容稳定窗口时长为300秒,支持修改。在实际配置
-
设置集群网络 - 华为云UCS
raly网络相关介绍与操作请参见Cilium。 支持 附着集群 附着集群 需支持underlay网络 取决于附着集群网络类型 常见问题 若检测结果显示集群间节点或容器访问不通,请排查以下项目: 表3 排查项 排查方法 解决方案 确认集群版本是否在1.21及以上 进入集群详情页查看。
-
MCS概述 - 华为云UCS
B)中的Service时,请求将会被路由到源集群的服务后端,从而实现跨集群服务发现及访问。 MCS的使用流程 MCS的使用流程见图2,具体的使用流程如下: 检测集群间的节点网络互通与容器网络互通,若未互通则需按照要求打通。具体操作请参见设置集群网络。 在集群联邦中提前部署可用的工作负载和服务。具体操作请参见准备工作。
-
数据规划 - 华为云UCS
源规格如下所述: 表2 容器平台基础能力资源规格 节点类型 数量 CPU (Cores) Mem (GiB) Disk (G)-系统盘 Disk (G)-高性能盘 Disk (G)-数据盘 备注 集群管理节点 3 8 16 100 50 300 需要提供一个VIP用于高可用。 集群计算节点
-
k8sblocknodeport - 华为云UCS
Servie类型非Nodeport,符合策略实例。 apiVersion: v1 kind: Service metadata: name: my-service-disallowed spec: ports: - port: 80 targetPort: 80 nodePort:
-
实例管理 - 华为云UCS
单击“Action”页签,进入运维操作页,以Redis为例。 RedisClusterBackup:备份操作,进行Redis集群的数据备份。 RedisClusterRestore:恢复操作,根据已有的备份文件进行Redis集群的数据恢复。 单击“创建”按钮,进行Redis集群的备份/恢复。 父主题:
-
k8spspforbiddensysctls - 华为云UCS
apiVersion: v1 kind: Pod metadata: name: nginx-forbidden-sysctls-disallowed labels: app: nginx-forbidden-sysctls spec: containers:
-
使用策略定义库 - 华为云UCS
k8sreplicalimits noupdateserviceaccount k8simagedigests k8sexternalips k8sdisallowedtags k8sdisallowanonymous k8srequiredresources k8scontainerratios k8scontainerrequests
-
k8spspprocmount - 华为云UCS
符合策略实例。 apiVersion: v1 kind: Pod metadata: name: nginx-proc-mount-disallowed labels: app: nginx-proc-mount spec: containers: - name:
-
k8spspfsgroup - 华为云UCS
示例中fsGroup设为了500,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: fsgroup-disallowed spec: securityContext: fsGroup: 500 # directory will have
-
k8spsphostfilesystem - 华为云UCS
name: nginx-host-filesystem labels: app: nginx-host-filesystem-disallowed spec: containers: - name: nginx image: nginx