检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110) Docker是一个开源的应用容器引擎,Docker Engine是Docker可移植的容器运行时,而Docker的AuthZ插件可用于控制和限制对Docker守护进程的API请求。 漏洞详情
NGINX Ingress控制器验证绕过漏洞公告(CVE-2024-7646) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 验证绕过、命令注入 CVE-2024-7646 严重 2024-08-19 漏洞影响 在社区ingress-nginx控制器v1
kubelet和kube-proxy授权问题漏洞公告(CVE-2020-8558) 漏洞详情 Kubernetes官方发布安全公告,其核心组件kube-proxy存在主机边界绕过漏洞(CVE-2020-8558)。利用漏洞攻击者可能通过同一局域网下的容器,或在集群节点上访问同一个二层域下的相邻节点上绑定监听了本地127
通常不能直接请求另一个域下的资源。CORS(跨资源共享,Cross-Origin Resource Sharing)提供了一种安全的方式来绕过这个限制,允许跨域请求。 使用CORS允许跨域访问的场景较多,可能的场景如下: 前后端分离:前端应用部署在一个域名下(如 app.example
通常不能直接请求另一个域下的资源。CORS(跨资源共享,Cross-Origin Resource Sharing)提供了一种安全的方式来绕过这个限制,允许跨域请求。 使用CORS允许跨域访问的场景较多,可能的场景如下: 前后端分离:前端应用部署在一个域名下(如 frontend
app: nginx type: LoadBalancer 使用Service的pass-through特性,使用ELB地址访问时绕过kube-proxy,先访问ELB,经过ELB再访问到负载。 在CCE Standard集群中,当使用独享型负载均衡配置pass-thro
Ingress Controller所使用的ELB开启WAF功能,不同的WAF模式会影响Nginx Ingress Controller获取真实的客户端IP: 使用WAF云模式的CNAME接入 采用CNAME模式接入,会导致请求先通过WAF,经过WAF进行防护检查之后再转发给ELB。因此即使E
hostPath 挂载的能力的集群受到的影响最严重。利用该漏洞可以在不使用 hostPath 功能的情况下进行类似 hostPath 的访问,从而绕过限制。 在默认的 Kubernetes 环境中,漏洞利用可用于掩盖对已授予特权的滥用。 判断方法 涉及所有集群(新建的1.19.10及以上版本集群不受该漏洞影响)。
漏洞影响 有权限可以创建/更新ingress 中`spec.rules[].http.paths[].path`字段的用户,可以使用换行符绕过对Ingress 对象的“spec.rules[].http.paths[].path”字段的处理,通过这种方式获取ingress-con
CVE-2022-0811) 漏洞详情 crowdstrike安全团队披露CRI-O 1.19版本中存在一个安全漏洞,攻击者可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel.c
-2024-47176、CVE-2024-47177) NGINX Ingress控制器验证绕过漏洞公告(CVE-2024-7646) Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110) Linux内核权限提升漏洞公告(CVE-2024-1086)
自动弹性:ELB支持自动弹性规格,处理能力随业务峰值自动伸缩。 超强性能:单个ELB实例最大支持100万QPS、千万级并发连接。 云产品生态集成:ELB支持与WAF等多种云产品结合使用。 配置变更热更新:配置变更完全热更新,不需要Reload进程,对长连接无损。 场景示例 某企业在华为云使用CCE集群,并通过自建Nginx
支持黑白名单功能。 HTTPS(集成SSL)支持全链路HTTPS、SNI多证书、RSA、ECC双证、TLS 1.3协议和TLS算法套件选择。 支持WAF防火墙防护。 支持DDos防护。 支持黑白名单功能。 支持自定义安全策略。 服务治理 服务发现支持K8s。 服务灰度支持金丝雀发布。 服务高可用支持限流。
产品变更公告 2024/08/29 8 NGINX Ingress控制器验证绕过漏洞公告(CVE-2024-7646) 漏洞公告 2024/08/26 9 Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110) 漏洞公告 2024/07/31 10
AdditionalScrapeConfigs允许您指定一个Secret的key,将您额外的Prometheus抓取配置附加至云原生监控插件。 由于使用该机制会绕过常规的抓取配置生成逻辑,而是直接将您指定的配置内容传递给Prometheus,因此需要您保证配置的正确性。建议您参考scrape_config官方文档进行配置。
Pod访问的对象 网络策略(NetworkPolicy)是Kubernetes设计用来限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。 默认情况下,如果命名空间中不存在任何策略,则所有
NetworkPolicy NetworkPolicy是Kubernetes设计用来限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。 默认情况下,如果命名空间中不存在任何策略,则所有进出该命名空间中的Pod的流量都被允许。
be-proxy重定向到目标节点,当设置为Proxy时,流量将被发送到负载均衡器,然后由负载均衡器转发到目标节点。这项特性将有助于解决流量绕过负载均衡器缩导致的负载均衡器功能缺失问题。更多使用细节请参考Service的负载均衡IP模式。 NFTables代理模式(Alpha) 在Kubernetes1
be-proxy重定向到目标节点,当设置为Proxy时,流量将被发送到负载均衡器,然后由负载均衡器转发到目标节点。这项特性将有助于解决流量绕过负载均衡器缩导致的负载均衡器功能缺失问题。更多使用细节请参考Service的负载均衡IP模式。 NFTables代理模式(Alpha) 在Kubernetes1
会使用eBPF将Service地址直接解析为Service后端某个Pod的地址。 性能优化 Pod或Node访问Service采用eBPF绕过节点上的iptables或者ipvs转发,请求延迟大幅降低。网络性能在大规模集群中受到的影响更小,扩展性更优。 Bandwidth Egress采用EDT(Earliest
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
