检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
径,将其设置为文件描述符的父级目录下的路径,读写主机任意文件,实现容器逃逸。 表1 漏洞信息 漏洞名称 CVE-ID 漏洞级别 披露/发现时间 runC漏洞 CVE-2024-21626 高 2024-02-01 漏洞利用条件 UCS服务的正常使用场景不受此漏洞影响,仅当攻击者具备以下条件之一时,可利用该漏洞:
CCE 类型的AOM实例。默认指标是免费的,而自定义指标将由AOM服务收费。收费标准请参见AOM计费说明。 采集周期:普罗采集指标数据并上报的时间周期。取值范围10~120秒,默认为15秒。 存储:(部署模式选择“Server模式”时需要配置)用于普罗数据的临时存储(PVC),华为云
、告警事件和强制拦截事件的情况。您可以根据这些数据评估集群的合规情况,并及时采取修复措施。 图2 策略实施详情 当前,不合规资源统计的上报时间大约在15至30分钟之间。 如果下发策略实例后未对违规资源进行拦截或告警,请检查是否已开启ValidatingAdmissionPolic
节点风险概览统计该舰队内已开启监控的集群节点发生的K8s Warning事件,包括事件名称、类型、所属集群名称、资源类型、资源名称、事件内容、发生时间和发生次数等。单击上方搜索框,选择属性类型,再输入对应的关键字,即可查询该条件下的事件。单击,可对事件进行排序。 说明: 仅展示最近100条K8S
可以执行如下命令管理FederatedHPA策略。其中hpa-example-hpa为FederatedHPA策略的名称,实际情况中需修改为自己所创建的策略名称。 获取FederatedHPA策略:kubectl get federatedhpa hpa-example-hpa 更新FederatedHPA策略:kubectl
CCE 类型的AOM实例。默认指标是免费的,而自定义指标将由AOM服务收费,收费标准请参见AOM计费说明。 采集周期:普罗采集指标数据并上报的时间周期。取值范围10~60秒,默认为15秒。 存储:(部署模式选择“Server模式”时需要配置)用于普罗数据的临时存储。 存储类型:多云集群支持Emptydir和Local
集群Kubernetes审计日志说明 类别 组件 日志流 说明 控制面审计日志 audit audit-{{clusterID}} 集群审计日志提供了与安全相关的、按时间顺序排列的记录集,记录每个用户、使用Kubernetes API的应用以及控制面自身引发的活动。 开启本地集群控制面审计日志 集群未安装云原生日志采集插件
资源时遵循相同的标准。 自动化策略部署:在UCS策略中心启用并创建策略实例后,系统会自动将这些策略应用到多个集群中,这将大大减少手动配置的时间和出错的可能性。 监控策略实施情况:UCS策略中心能够提供诸如集群合规率、不合规资源、告警事件数以及强制拦截事件等多种监控数据。这些数据有
创建、删除权限 查看权限列表或详情 说明: 创建权限需要同时授予子用户IAM ReadOnlyAccess权限(IAM服务的只读权限),用于获取IAM用户列表。 UCS FullAccess + IAM ReadOnlyAccess 只读权限 查看权限列表或详情 UCS ReadOnlyAccess
的网关的负载均衡公网地址; $GATEWAY_PORT是gwtest1网关的监听器对外端口。 预期结果: 反复多次刷新浏览器,约有70%的时间可以看到v2版本的nginx服务内容。 相关文档 Istio Traffic Shifting Task Gatewy API HTTP traffic
选择的根域名添加解析记录,并且在UCS侧生成一个统一的对外访问路径(域名地址),因此,我们通过访问这个域名地址就可以验证流量的分配情况。 获取域名访问地址。 登录UCS控制台,选择左侧导航栏中的“容器舰队”。 单击已开通集群联邦的舰队名称,进入详情页面。 在左侧导航栏选择“联邦管理
kube-prometheus-stack插件中的node-exporter组件会监控Docker的存储磁盘空间,需要读取宿主机的/var/run/dockersock的获取Docker的info的数据。 node-exporter运行需要以下特权: cap_dac_override:读取Docker的info的数据。
是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 响应参数 无 请求示例 集群移出容器舰队 POST https://ucs.myhuaweicloud.com/v1/clusters/{clusterid}/unjoin 响应示例 无 状态码 状态码
个文件 。 如果业务容器的数据目录是通过数据卷(Volume)挂载的,插件不支持采集它的父目录,需设置采集目录为完整的数据目录。 容器运行时间建议不小于1分钟,防止日志文件删除过快,无法及时采集。 费用说明 LTS创建日志组免费,并每月赠送每个账号一定量免费日志采集额度,超过免费额度部分将产生费用。
自定义模式:您可以自定义配置域名解析到每个集群的权重。并且可以配置地域亲和,设置特定区域的用户流量访问特定的集群。 单击“创建”完成域名访问任务创建,完成该任务需要一段时间,请耐心等待。可单击“返回域名访问列表”或“查看域名访问详情”查看创建的域名访问。 修改别名 登录UCS控制台,在左侧导航栏中选择“容器舰队”。
namespaces 否 Array of strings 权限策略涉及到的命名空间 响应参数 无 请求示例 更新容器舰队关联的权限策略 PUT https://ucs.myhuaweicloud.com/v1/clustergroups/{clustergroupid}/associatedrules
如需采集annotation,则在启动参数中以相同方法添加参数--metric-annotations-allowlist。 参考文档:https://github.com/kubernetes/kube-state-metrics/blob/v2.2.3/docs/cli-arguments
创建、删除权限 查看权限列表或详情 说明: 创建权限需要同时授予子用户IAM ReadOnlyAccess权限(IAM服务的只读权限),用于获取IAM用户列表。 UCS FullAccess + IAM ReadOnlyAccess 只读权限 查看权限列表或详情 UCS ReadOnlyAccess
CCE 类型的AOM实例。默认指标是免费的,而自定义指标将由AOM服务收费,收费标准请参见AOM计费说明。 采集周期:普罗采集指标数据并上报的时间周期。取值范围10~60秒,默认为15秒。 存储:(部署模式选择“Server模式”时需要配置)用于普罗数据的临时存储。 存储类型:附着集群支持Emptydir和Local
CCE 类型的AOM实例。默认指标是免费的,而自定义指标将由AOM服务收费,收费标准请参见AOM计费说明。 采集周期:普罗采集指标数据并上报的时间周期。取值范围10~60秒,默认为15秒。 存储:(部署模式选择“Server模式”时需要配置)用于普罗数据的临时存储。本地集群支持CSI
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
