检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据共享:多台服务器可挂载相同的文件系统,数据可以共享操作和访问。 私有网络:数据访问必须在数据中心内部网络中。 安全隔离:直接使用云上现有IaaS服务构建独享的云文件存储,为租户提供数据隔离保护和IOPS性能保障。 应用场景:适用于多读多写(ReadWriteMany)场景下的各种工作负载(D
按照版本正常升级流程解决。 修复声明 为了防止客户遭遇不当风险,除漏洞背景信息、漏洞详情、漏洞原理分析、影响范围/版本/场景、解决方案以及参考信息等内容外,CCE不提供有关漏洞细节的其他信息。 此外,CCE为所有客户提供相同的信息,以平等地保护所有客户。CCE不会向个别客户提供事先通知。 最后,CC
在“总览”页面,查看控制节点信息,如集群未开启过载控制,此处将会出现相应提示。如需开启过载控制,您可单击“立即开启”。 图2 已有集群开启过载控制 集群过载监控 方式一:CCE界面 登录CCE控制台,进入一个已有的集群(集群版本为v1.23及以上)。 在“总览”页面,查看控制节点信息,将会显示“过载等级”指标。
CloudShell基于VPCEP实现,在CloudShell中使用kubectl访问集群需要在集群控制节点的安全组(安全组名称:集群名称-cce-control-随机数)中放通5443端口。5443端口默认对所有网段放通,如果您对安全组做过加固,当出现在CloudShell中无法访问集群时,请检查5443端口是否放通了198
针对故障和潜在风险,给出风险等级并提供修复建议 使用场景 运维对集群做变更前的集群状况检测,可随时主动触发健康诊断 支持运维的定时巡检,可设置定时执行时间,定期检查集群风险 集群诊断健康提炼了运维专家提供的高频故障案例,分别从如下方面进行检查: 维度 检查项 运维层面 集群运维能力 集群安全组配置正确性
是否允许在pod中配置使用特权容器 配置建议: 如用户出于安全原因,严格禁止使用特权容器,可以选择禁用 禁用特权容器会使已经配置了特权容器的业务无法正常下发,请排查确认集群所有相关业务均不涉及使用特权容器后再禁用 允许匿名请求 是否启用针对 API 服务器的安全端口的匿名请求 参数名 取值范围 默认值
工作负载的“事件”保存多长时间? 在1.7.3-r12、1.9.2-r3及以上版本的集群中,工作负载的“事件”信息保存时间为1个小时,1小时后自动清除数据。 在1.7.3-r12之前更老的集群版本中,保存时间为24小时。 父主题: 监控日志
alancer服务对外提供访问。 对外提供访问后,无需认证即可访问页面,存在一定的安全风险。若您有较高的安全要求,可进行安全加固。例如,使用NGINX反向代理和基于HTTP基本身份验证的方式来保护Console页面,从而限制访问页面的用户。 以创建NodePort服务为例,YAML示例如下:
Turbo集群可以使用普通运行时或安全运行时。具体区别请参见安全运行时与普通运行时。 时区同步:选择是否开启时区同步。开启后容器与节点使用相同时区(时区同步功能依赖容器中挂载的本地磁盘,请勿修改删除),时区同步详细介绍请参见设置时区同步。 容器配置 容器信息 Pod中可以配置多个容器,
虚拟私有云是通过逻辑方式进行网络隔离,提供安全、隔离的网络环境。您可以在VPC中定义与传统网络无差别的虚拟网络,同时提供弹性IP、安全组等高级网络服务。 安全组 安全组是一个逻辑上的分组,为同一个VPC内具有相同安全保护需求并相互信任的弹性云服务器提供访问策略。安全组创建后,用户可以在安全组中定义各种访问
集群日常管理实践 预防集群过载的配置建议 CCE集群高可用推荐配置 通过kubectl对接多个集群 集群视角的成本可视化最佳实践 集群安全实践 CCE集群安全配置建议 集群迁移实践 将K8s集群迁移到CCE 父主题: 集群
节点管理 创建节点 获取指定的节点 获取集群下所有节点 更新指定的节点 删除节点 节点开启缩容保护 节点关闭缩容保护 同步节点 批量同步节点 纳管节点 自定义节点池纳管节点 重置节点 节点移除 节点迁移 节点迁移到自定义节点池 父主题: API
) 业界安全研究人员披露runc systemd属性注入漏洞(CVE-024-3154),攻击者可将恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload)注入Pod注解中,进而在宿主机中执行任意操作。 漏洞详情 表1 漏洞信息 漏洞类型
登录节点 前提条件 使用SSH方式登录时,请确认节点安全组已放通SSH端口(默认为22)。详情请参见配置安全组规则。 通过公网使用SSH方式登录时要求该节点(弹性云服务器 ECS)已绑定弹性公网IP。 只有运行中的弹性云服务器才允许用户登录。 Linux操作系统用户名为root。
Turbo集群可以使用普通运行时或安全运行时。具体区别请参见安全运行时与普通运行时。 时区同步:选择是否开启时区同步。开启后容器与节点使用相同时区(时区同步功能依赖容器中挂载的本地磁盘,请勿修改删除),时区同步详细介绍请参见设置时区同步。 容器配置 容器信息 Pod中可以配置多个容器,
漏洞详情 近日,Kubernetes社区发现安全漏洞CVE-2018-1002105。通过伪造请求,Kubernetes用户可以在已建立的API Server连接上提权访问后端服务,华为云容器服务已在第一时间完成全面修复。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间
etes版本,以及当前是否有新的版本可供升级。主动升级集群有以下好处: 降低安全和稳定性风险:Kubernetes版本迭代过程中,会不断修复发现的安全及稳定性漏洞,长久使用EOS版本集群会给业务带来安全和稳定性风险。 支持新功能和新操作系统:Kubernetes版本的迭代过程中,
根据GPU/NPU卡信息定位使用该卡的Pod 在CCE中使用GPU/NPU卡时,无法直接获取到使用该卡的Pod。您可以根据GPU/NPU卡的信息,通过kubectl命令行操作筛选Pod,以便在GPU/NPU卡故障时能够及时将Pod驱逐。 前提条件 已创建CCE集群,且配置了kub
漏洞影响 影响版本:所有目前主流的Linux版本 安全版本:查看各Linux厂商安全公告 漏洞处理方案 目前RedHat、Ubuntu、Debian、SUSE等各大Linux厂商均已发布补丁版本修复了该漏洞,请受影响的用户升级到安全版本,若无法及时升级,可参考厂商官方提供的建议进行缓解。
Turbo集群可以使用普通运行时或安全运行时。具体区别请参见安全运行时与普通运行时。 时区同步:选择是否开启时区同步。开启后容器与节点使用相同时区(时区同步功能依赖容器中挂载的本地磁盘,请勿修改删除),时区同步详细介绍请参见设置时区同步。 容器配置 容器信息 Pod中可以配置多个容器,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
