检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
您可以通过nginx.ingress.kubernetes.io/ssl-redirect注解进行配置,对应的参数值可设置为“true”或“false”: true:使用TLS证书时,将HTTP访问重定向至HTTPS(状态码为308)。
启用企业主机安全服务(HSS) 企业主机安全服务(HSS)拥有主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,能够全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为。推荐启用HSS服务保护用户CCE集群下的主机。
7 安全组检查异常处理 检查Node节点安全组规则中,协议端口为ICMP:全部,源地址为Master节点安全组的规则是否被删除。 8 残留待迁移节点检查异常处理 检查节点是否需要迁移。 9 K8s废弃资源检查异常处理 检查集群是否存在对应版本已经废弃的资源。
本示例使用 grpc.example.com和自签SSL证书。 步骤1:创建SSL证书 复制以下内容并保存至openssl.cnf文件中。
核心技术 OVS IPVlan,VPC路由 VPC弹性网卡/弹性辅助网卡 适用集群 CCE Standard集群 CCE Standard集群 CCE Turbo集群 容器网络隔离 Pod支持Kubernetes原生NetworkPolicy 否 Pod支持使用安全组隔离 ELB对接
与ELB不同VPC的集群,集群node安全组(云原生2.0网络时为eni安全组)入方向需要放通源地址为ELB所在VPC网段。 ELB添加跨VPC后端,集群对应的安全组需要放通负载均衡器的后端子网网段、且不支持UDP类型监听器,详情请参见ELB约束限制。
创建Ingress对象时增加配置证书校验,避免对ELB侧已存在的Ingress证书进行覆盖。 优化autoscaler扩容节点池时的事件上报逻辑,去除规格售罄的重复事件。
SecurityGroup String 参数解释: 集群默认的Node节点安全组ID。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不指定该字段系统将自动为用户创建默认Node节点安全组。 指定该字段时集群将绑定指定的安全组。
获取方法:在CCE控制台,单击左侧栏目树中的“资源管理-存储管理”,在“极速文件存储卷”页签下单击PVC的名称,在PVC详情页中复制“PVC UID”后的内容即可。 storage 文件存储的大小。
容器安全插件 CCE密钥管理(对接 DEW) 容器镜像签名验证 父主题: 插件
集群配置 安全组配置是否正确 否 集群安全组配置异常,直接影响节点之前的通信,导致节点不可用。请使用默认安全组配置。
/minio server /opt/miniodata/ --console-address ":30840" & 安装MinIO工具的服务器需开放防火墙、安全组中对应的API和console端口,否则将无法访问对象桶。
指定有效安全组ID,新建节点将使用指定安全组。 指定安全组,应避免对CCE运行依赖的端口规则进行修改。详细设置请参考集群安全组规则配置。
SecurityGroup String 参数解释: 集群默认的Node节点安全组ID。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不指定该字段系统将自动为用户创建默认Node节点安全组。 指定该字段时集群将绑定指定的安全组。
支持配置集群维度的自定义安全组。 CCE Turbo集群支持节点级别的网卡预热参数配置。 支持集群控制面组件的日志信息开放。 优化ELB Service/Ingress在大量连接场景下的稳定性。
监听器配置: SSL解析方式:v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。 单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。
易于管理:Prometheus server是一个单独的二进制文件,可直接在本地工作,不依赖于分布式存储。 高效:平均每个采样点仅占 3.5 bytes,且一个Prometheus server可以处理数百万的metrics。
表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 拒绝服务攻击 CVE-2019-9512 高 2019-08-13 资源管理错误 CVE-2019-9514 高 2019-08-13 漏洞影响 默认集群在VPC和安全组内保护下不受影响。
nginx.ingress.kubernetes.io/ssl-redirect String 是否只能通过SSL访问(当Ingress包含证书时默认为true),将HTTP请求重定向至HTTPS。
约束与限制 数据加密服务包含密钥管理(Key Management Service, KMS)、云凭据管理(Cloud Secret Management Service,CSMS)和密钥对管理(Key Pair Service, KPS)等服务。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
