检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
),这些漏洞可能允许攻击者获得对虚拟机(VM)的root访问权限。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2024-9486 CVE-2024-9594 严重 2024-10-15 漏洞影响 使用Kubernetes Image
配置项资源名称,为资源主键,指定后不支持修改 命名空间 配置项所属命名空间 参数名 取值范围 默认值 是否允许修改 作用范围 namespace 集群中存在的命名空间 default 支持初始化时配置,不支持后续修改 - 命名空间为资源的隔离维度,一旦指定后不允许修改 配置建议:
动配置如下: 50和200节点:400 1000节点:1000 2000节点:2000 请求超时时间 request-timeout kube-apiserver组件的默认请求超时时间,请谨慎修改此参数,确保取值合理性,以避免频繁出现接口超时或其他异常。 该参数仅v1.19.16-r30、v1
上报,再执行eviction manager的检测,则kubelet将会删除上一次的污点。 解决方案 对于该问题您可以无需处理,节点在一段时间后会自动驱逐Pod。 父主题: 调度策略
75、CVE-2024-47176、CVE-2024-47177) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 REC CVE-2024-47076 CVE-2024-47175 CVE-2024-47176 CVE-2024-47177 严重 2024-09-26
查看集群“概览”页,在右边“连接信息”下证书认证一栏,单击“下载”。 图1 获取证书 在弹出的“证书获取”窗口中,根据系统提示选择证书的过期时间并下载集群X509证书。 下载的证书包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。 集群中容器之间互访不需要证书。
Map<String,String> 资源注解,由key/value组成 updateTimestamp String 更新时间 creationTimestamp String 创建时间 表8 MasterEIPResponseSpec 参数 参数类型 描述 action String 绑定动作
参数 参数类型 描述 uid String 任务ID creationTimestamp String 任务创建时间 updateTimestamp String 任务更新时间 表4 PrecheckCluserResponseSpec 参数 参数类型 描述 clusterID String
文逗号隔开。 100.125.x.x IPv4 DHCP租约时间 DHCP租约时间是指DHCP服务器自动分配给客户端的IP地址的使用期限。超过租约时间,IP地址将被收回,需要重新分配。DHCP租约时间改后,会在一段时间后自动生效(与您的DHCP租约时长有关),如果需要立即生效,请
操作场景 集群在创建时可指定自定义节点安全组,方便统一管理节点的网络安全策略。对于已创建的集群,支持修改集群默认的节点安全组。 约束与限制 一个安全组关联的实例数量建议不超过1000个,否则可能引起安全组性能下降。更多关于安全组的限制请参考安全组限制。 不支持指定Master节点的安
node_cpu_seconds_total counter 在不同模式下节点累计CPU花费的时间 container_cpu_usage_seconds_total counter 容器CPU累计使用时间 container_memory_rss gauge RSS内存,即常驻内存集。是
调度策略类型 参数 参数说明 示例 节点亲和 不配置:不设置节点亲和策略。 指定节点调度:指定工作负载Pod部署的节点。若不指定,将根据集群默认调度策略随机调度。 指定节点池调度:指定工作负载Pod部署的节点池。若不指定,将根据集群默认调度策略随机调度。 自定义亲和策略:根据节点标签实现
原来所在的机器上重启该容器。 如果资源充足,可将QoS Pod类型均设置为Guaranteed。用计算资源换业务性能和稳定性,减少排查问题时间和成本。 如果想更好的提高资源利用率,业务服务可以设置为Guaranteed,而其他服务根据重要程度可分别设置为Burstable或BestEffort,例如filebeat。
该配置影响控制器对伸缩策略相关指标反应的灵敏程度,当配置为0时,指标达到策略阈值时立即触发弹性 配置建议: 结合业务资源占用行为特点配置:如业务资源占用随时间的“突刺”特征明显,建议保留一定的容忍度值,避免因业务短时资源占用飚高导致预期之外的弹性行为 父主题: 集群
认证的攻击者可以利用漏洞提升至root权限。目前漏洞poc已公开,风险较高。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2022-2639 高 2022-09-01 漏洞影响 1. 采用容器隧道网络的CCE集群,节点OS镜像使用了EulerOS
进程可能会访问主机上任意文件和目录的只读副本,从而造成宿主机上敏感信息泄露。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2022-23648 中 2022-02-28 漏洞影响 用户在使用了恶意构造的镜像时,会导致容器内可获取主机上的任意文件的只读副本,从而泄露敏感信息。
AuthZ插件可用于控制和限制对Docker守护进程的API请求。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2024-41110 严重 2024-07-25 漏洞影响 受影响版本中,攻击者可以使用Content-Length设
并创建新的PVC关联该新建的静态PV,之后应用升级挂载这个新的PVC到原有挂载路径,实现存储卷迁移。 迁移时会造成服务断服,请合理规划迁移时间,并做好相关备份。 操作步骤 数据备份(可选,主要防止异常情况下数据丢失)。 根据FlexVolume格式的PV,准备CSI格式的PV的yaml文件关联已有存储。
的用户可导致容器逃逸到宿主机。目前已存在poc,但尚未发现已公开的利用代码。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 资源管理错误 CVE-2022-0185 高 2022-01-27 漏洞影响 容器内用户拥有CAP_SYS_ADMIN权限,并且内核版本在5
xecReload)注入Pod注解中,进而在宿主机中执行任意操作。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 代码执行 CVE-2024-3154 严重 2024-04-26 漏洞影响 攻击者利用runc的systemd cgroup特性进行攻击
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
