检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
containerd镜像Volume非安全处理漏洞公告(CVE-2022-23648) 漏洞详情 containerd开源社区中披露了一个漏洞,如果镜像具有恶意的属性,在容器内的进程可能会访问主机上任意文件和目录的只读副本,从而造成宿主机上敏感信息泄露。 表1 漏洞信息 漏洞类型
群中所有命名空间的密钥。 2. 漏洞CVE-2021-25746:用户有权限可以在创建/更新ingress时,利用‘.metadata.annotations’字段,获取到ingress-controller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。 表1 漏洞信息 漏洞类型
证书。 证书来源:使用证书以支持HTTPS数据传输加密认证。 如果您选择“TLS密钥”,需要提前创建IngressTLS或kubernetes.io/tls类型的密钥证书,创建密钥的方法请参见创建密钥。 如果您选择“默认证书”,NGINX Ingress控制器会使用插件默认证书进行加密认证。默认证书可在安装NGINX
取镜像是使用密钥认证方式,这就要求在拉取镜像前先创建镜像仓库的密钥。 前提条件 使用SWR企业版镜像仓库镜像时,请确保工作负载运行的节点可访问对应的企业版镜像仓库实例。 通过界面操作 创建SWR企业版镜像仓库的密钥。 单击集群名称进入集群,在左侧导航栏选择“配置与密钥”,在右侧选
登录节点时需要使用该密码,请妥善管理密码,系统无法获取您设置的密码内容。 密钥对 选择用于登录本节点的密钥对,支持选择共享密钥。 密钥对用于远程登录节点时的身份认证。若没有密钥对,可单击选项框右侧的“创建密钥对”来新建,创建密钥对操作步骤请参见创建密钥对。 使用镜像密码(当节点类型为弹性云服务器虚拟机或物理机,且操作系统选择私有镜像时支持)
前提条件 请确保您已经在华为云DEW服务创建了KMS密钥,且密钥CCE集群同处于一个region。关于DEW密钥管理的更多信息和相关操作,请参见创建密钥。关于DEW服务计费的详细说明,请参见计费概述。 开启Secret落盘加密功能时,请勿使用DEW的控制台或OpenAPI禁用或删
设置插件支持的“参数配置”。 表1 swr-cosign插件参数配置 参数 参数说明 KMS密钥 选择一个密钥,仅支持 EC_P256、EC_P384、SM2 类型的密钥。 您可以前往密钥管理服务新增密钥。 验签镜像 验签镜像地址通过正则表达式进行匹配,例如填写docker.io/**表示对docker
String 参数解释: 加密模式,可以配置为使用cce本地密钥加密或KMS加密。 约束限制: 不涉及 取值范围: Default:使用cce本地密钥加密 KMS:使用KMS加密模式 默认取值: Default kmsKeyID String 参数解释: kms密钥ID 集群创建API
并存储属主和属组均为paas的文件数据。 当前集群升级流程会将/var/paas路径下的文件的属主和属组均重置为paas。 请您参考下述命令排查当前业务Pod中是否将文件数据存储在/var/paas路径下,修改避免使用该路径,并移除该路径下的异常文件后重试检查,通过后可继续升级。
为准。 默认不加密。 选择“加密-从密钥中选择”后,可选择已有的密钥,若没有可选的密钥,请单击后方的链接创建新密钥,完成创建后单击刷新按钮。 选择“加密-输入KMS密钥ID”后,您需要输入的KMS密钥ID(包含他人共享的KMS密钥),且该密钥必须位于当前Region下。 系统组件存储
Ingress中,gRPC服务只运行在HTTPS端口(默认443)上,因此在生产环境中,需要域名和对应的SSL证书。本示例使用 grpc.example.com和自签SSL证书。 步骤1:创建SSL证书 复制以下内容并保存至openssl.cnf文件中。 [req] distinguished_name
跨账号挂载对象存储 应用场景 跨账号数据共享。例如,公司内部多团队需要共享数据,但不同团队使用不同的账号。 跨账户数据迁移和备份。例如,账号A即将停用,所有的数据需要迁移至账户B。 数据处理与分析。例如,账号B是外部数据处理商,需要访问账户A的原始数据进行大数据分析和机器学习等操作。 通过
n_reuse_mode问题说明。 iptables简介 iptables是一个Linux内核功能,提供了大量的数据包处理和过滤方面的能力。它可以在核心数据包处理管线上用Hook挂接一系列的规则。iptables模式中kube-proxy 在NAT pre-routing Hoo
# 设置对象存储的自定义密钥 name: <your_secret_name> # 自定义密钥的名称 namespace: <your_namespace> # 自定义密钥的命名空间 persistentVolumeReclaimPolicy:
CCE集群内域名解析失败,如何定位处理? 排查项一:检查是否已安装CoreDNS插件 登录CCE控制台,进入集群。 在左侧导航栏中选择“插件中心”,确认异常的集群是否已安装CoreDNS插件。 如果未安装,请安装。详情请参见为什么CCE集群的容器无法通过DNS解析? 排查项二:检查CoreDNS实例是否已到达性能瓶颈
首先去除YAML中关于HTTPS的参数,尝试创建HTTP类型的Ingress是否可正常访问。 如HTTP访问正常,则考虑HTTPS密钥证书是否存在问题。 排除密钥类型错误。检查密钥类型是否为IngressTLS或kubernetes.io/tls类型。 # kubectl get secret NAME
登录节点时需要使用该密码,请妥善管理密码,系统无法获取您设置的密码内容。 密钥对 选择用于登录本节点的密钥对,支持选择共享密钥。 密钥对用于远程登录节点时的身份认证。若没有密钥对,可单击选项框右侧的“创建密钥对”来新建,创建密钥对操作步骤请参见创建密钥对。 使用镜像密码(当节点类型为弹性云服务器虚拟机或物理机,且操作系统选择私有镜像时支持)
2024/04/01 2024/04/02 协议 https https 负载均衡器 elb1 elb1 端口 443 443 证书来源 TLS密钥 TLS密钥 TLS密钥对应secret namespace1/secret1 namespace2/secret2 实际生效的证书 namespace1/secret1
Secret落盘加密特性兼容性检查异常处理 检查项内容 检查本次升级的目标版本是否支持Secret落盘加密特性,若不支持则不允许开启Secret落盘加密特性的集群升级至该版本。 解决方案 CCE从v1.27版本开始支持Secret落盘加密特性,开放该特性的版本号如下: v1.27集群:v1
义密钥或名为“sfs/default”的云硬盘默认密钥。 获取方法:在数据加密控制台,找到需要加密的密钥,复制密钥ID值即可。 everest.io/crypt-alias 否 密钥的名称,创建加密卷时必须提供该字段。 获取方法:在数据加密控制台,找到需要加密的密钥,复制密钥名称即可。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
