检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
虚拟私有云 VPC”,在网络控制台单击“访问控制 > 安全组”。 在界面右侧的安全组列表中找到集群的ENI安全组,名称规则默认是{集群名}-cce-eni-{随机ID}。 如果集群中绑定了自定义的容器安全组,请根据实际进行选择。 单击安全组名称,在打开的页面中单击“入方向规则”页签,单
Kubernetes安全漏洞公告(CVE-2024-10220) Kubernetes社区近日公布了一个安全漏洞(CVE-2024-10220),该漏洞使得具有创建Pod权限的攻击者能够通过部署配置了gitRepo卷的Pod来执行容器外的任意命令。攻击者可以利用目标Git仓库中的
如何正确配置集群安全组规则? Autopilot集群在创建时将会自动创建两个安全组,其中Master节点的安全组名称是:{集群名}-cce-control-{随机ID};ENI的安全组的名称是:{集群名}-cce-eni-{随机ID}。 用户可根据安全需求,登录CCE控制台,单击服务列表中的“网络
获取任务信息 功能介绍 该API用于获取任务信息。通过某一任务请求下发后返回的jobID来查询指定任务的进度。 集群管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径 该接口通常使用场景为: 创建、删除集群时,查询相应任务的进度。
securityGroups 否 String 需要配置的安全组ID,最多关联5条安全组。如果没有对安全组进行规划,请和default-network中的安全组保持一致。 获取方式: 登录虚拟私有云控制台,在左侧导航栏选择“访问控制 > 安全组”,单击安全组名称,在“基本信息”页签下找到“ID”字段复制即可。
为了防止客户遭遇不当风险,除漏洞背景信息、漏洞详情、漏洞原理分析、影响范围/版本/场景、解决方案以及参考信息等内容外,CCE Autopilot集群不提供有关漏洞细节的其他信息。 此外,CCE Autopilot集群为所有客户提供相同的信息,以平等地保护所有客户。CCE Autopilot集群不会向个别客户提供事先通知。
集群基本信息 Kubernetes是一个开源的容器编排引擎,可用于容器化应用的自动化部署、 扩缩和管理。 对应用开发者而言,可以把Kubernetes看成一个集群操作系统。Kubernetes提供服务发现、伸缩、负载均衡、自愈甚至选举等功能,让开发者从基础设施相关配置中解脱出来。
为了保障您的服务权益,请您务必在维护周期结束之前升级您的Kubernetes集群,主动升级集群有以下好处: 降低安全和稳定性风险:Kubernetes版本迭代过程中,会不断修复发现的安全及稳定性漏洞,长久使用EOS版本集群会给业务带来安全和稳定性风险。 支持新功能和新操作系统:Kubernetes版本的迭代过程中,会不断带来新的功能、优化。
见创建命名空间。 实例数量:填写实例的数量,即工作负载Pod的数量。 容器配置 容器信息 Pod中可以配置多个容器,您可以单击右侧“添加容器”为Pod配置多个容器。 基本信息:配置容器的基本信息。 参数 说明 容器名称 为容器命名。 更新策略 镜像更新/拉取策略。可以勾选“总是拉
创建VPC和子网 背景信息 在创建集群之前,您需要创建虚拟私有云(VPC),为CCE服务提供一个安全、隔离的网络环境。 如果用户已有VPC,可重复使用,不需多次创建。 创建VPC 登录管理控制台,选择“网络 > 虚拟私有云 VPC”。 在虚拟私有云控制台,单击右上角的“创建虚拟私有云”,按照提示完成创建。
如果需要为命名空间或工作负载设置不同的容器子网或安全组,您可以创建一条策略,将容器子网/安全组与命名空间或工作负载进行绑定,详情请参见使用容器网络配置为命名空间/工作负载绑定子网及安全组。 容器绑定子网:Pod IP会被约束在特定的网段中,不同命名空间或工作负载之间可实现网络隔离。 容器绑定安全组:支持为同一命
集群配置概览 集群配置中心为您提供集群的基础配置信息,包含集群信息、集群配置和已安装插件多维度的信息概况。 功能入口 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“配置中心”,单击“配置概览”页签。 集群信息 集群信息包括多个维度: 集群ID:集群资源唯一标识,
Metadata object 基本信息,为集合类的元素类型,包含一组由不同名称定义的属性 spec UpgradeInfoSpec object 升级配置相关信息 status UpgradeInfoStatus object 升级状态信息 表3 Metadata 参数 参数类型
的方式。在安全范围内,CCE Autopilot服务允许客户根据Kubernetes社区推荐的方案,通过Pod的安全上下文(Security Context)对内核参数进行配置,极大提升用户业务部署的灵活性。如果您对securityContext概念不够熟悉,更多信息可阅读Security
见创建命名空间。 实例数量:填写实例的数量,即工作负载Pod的数量。 容器配置 容器信息 Pod中可以配置多个容器,您可以单击右侧“添加容器”为Pod配置多个容器。 基本信息:配置容器的基本信息。 参数 说明 容器名称 为容器命名。 更新策略 镜像更新/拉取策略。可以勾选“总是拉
数据共享:多台服务器可挂载相同的文件系统,数据可以共享操作和访问。 私有网络:数据访问必须在数据中心内部网络中。 安全隔离:直接使用云上现有IaaS服务构建独享的云文件存储,为租户提供数据隔离保护和IOPS性能保障。 应用场景:适用于多读多写(ReadWriteMany)场景下的各种工作负载(D
AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 To
触发场景 同时删除PVC和与其绑定的PV,会出现底层存储没有被同步删除的情况。 在删除PVC前,尝试直接删除PV,但由于PV被PVC绑定而受到保护无法直接删除。然后再删除PVC,就会出现底层存储没有被同步删除的情况。 问题根因 在开源csi-provisioner模块业务逻辑中,常规
Kubernetes社区版本 特性更新 优化增强 安全漏洞修复 v1.31.1-r0 v1.31.1 CCE Autopilot支持创建1.31集群版本,有关更多信息请参见Kubernetes 1.31版本说明。 - 修复部分安全问题。 v1.28版本 表2 v1.28补丁版本发布说明
onfig认证文件。此时CCE Autopilot集群根据用户信息的权限判断kubectl有权限访问哪些Kubernetes资源,即哪个用户获取的kubeconfig文件,kubeconfig中就拥有哪个用户的认证信息,任何人都可以通过这个kubeconfig文件访问集群。 父主题:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
