检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
并检查插件状态。详情请参见CCE节点故障检测。 集群配置 安全组配置是否正确 否 集群安全组配置异常,直接影响节点之前的通信,导致节点不可用。请使用默认安全组配置。 核心插件维度 集群诊断场景 诊断项 是否需要开通监控中心 修复方案 CoreDNS域名解析插件状态 CoreDNS域名解析插件状态
而Pod Security Admission则是这些安全性标准的控制器,用于在创建Pod时执行定义好的安全限制。 Pod安全性标准定义了三种安全性策略级别: 表1 Pod安全性策略级别 策略级别(level) 描述 privileged 不受限制,通常适用于特权较高、受信任的
Kubernetes安全漏洞公告(CVE-2024-9486,CVE-2024-9594) Kubernetes安全响应委员会披露了Kubernetes Image Builder中的两个安全漏洞(CVE-2024-9486和CVE-2024-9594),这些漏洞可能允许攻击者获得对虚拟机(VM)的root访问权限。
端口的安全组规则,加固集群的访问控制策略。 登录CCE控制台,单击集群名称进入集群,在总览页面找到“集群ID”并复制。 登录VPC控制台,在左侧导航栏中选择“访问控制 > 安全组”。 在筛选栏中,选择筛选条件为“描述”,并粘贴集群ID进行筛选。 筛选结果中将会包含多个安全组,找到
集群处于“运行中”状态。 功能入口 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“健康中心”。 您可以在不开通监控中心的情况下,进行基础的集群健康诊断。如果想体验更丰富的诊断能力,请参考开通监控中心开通。 配置定时巡检规则 在“健康诊断”页面右上角打开“定时巡检”开关,并配置定时巡
采集控制面组件日志 集群支持对用户开放集群控制节点的日志信息。在日志中心页面可以选择需要上报日志的控制面组件,支持kube-controller-manager、kube-apiserver、kube-scheduler三个组件。 约束与限制 如您需要查看集群控制面组件日志,集群必须为v1
若您已对接AOM,AOM服务会按量收取费用。具体请参考价格详情。 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“配置中心”,切换至“监控运维配置”页签。 修改“采集配置”。 监控采集任务配置由系统预置采集配置、ServiceMonitor采集配置、PodMo
集群已开通日志中心 开通日志中心时,可通过勾选采集Kubernetes事件,创建默认日志采集策略,采集所有事件上报到LTS。 登录云容器引擎(CCE)控制台,单击集群名称进入集群,选择左侧导航栏的“日志中心”。 未进行授权的用户需要先授权,已授权的用户直接跳转下一步。 在弹出框中单击“确认授权”。
新建TLS密钥时,对应位置导入证书及私钥文件即可。 验证 通过浏览器访问Ingress地址可以正常访问,但因为是自己签发的证书和密钥,所以CA不认可,显示不安全。 图2 验证结果 父主题: 安全加固
Apache containerd安全漏洞公告(CVE-2020-15257) 漏洞详情 CVE-2020-15257是containerd官方发布的一处Docker容器逃逸漏洞。containerd是一个支持Docker和常见Kubernetes配置的容器运行时管理组件,它处理
enable-admission-plugin-node-restriction 节点限制插件限制了节点的 kubelet 只能操作当前节点的对象,增强了在高安全要求或多租户场景下的隔离性。详细信息请参考官方文档。 开启/关闭 Pod节点选择器插件 enable-admission-plugin-pod-node-selector
Kubernetes subpath符号链接交换安全漏洞(CVE-2021- 25741) 漏洞详情 社区在 Kubernetes 中发现了一个安全问题,用户可以创建一个带有subPath volume挂载的容器,访问卷外的文件和目录,包括主机文件系统上的文件和目录。 容器使用s
containerd镜像Volume非安全处理漏洞公告(CVE-2022-23648) 漏洞详情 containerd开源社区中披露了一个漏洞,如果镜像具有恶意的属性,在容器内的进程可能会访问主机上任意文件和目录的只读副本,从而造成宿主机上敏感信息泄露。 表1 漏洞信息 漏洞类型 CVE-ID
集群节点如何不暴露到公网? 问题解决: 如果不需要访问集群节点的22端口,可在安全组规则中禁用22端口的访问。 如非必须,集群节点不建议绑定EIP。 如有远程登录集群节点的需求,推荐使用华为云堡垒机服务作为中转连接集群节点。 父主题: 安全加固
API版本信息 查询API版本信息列表 父主题: API
集群基本信息 Kubernetes是一个开源的容器编排引擎,可用于容器化应用的自动化部署、 扩缩和管理。 对应用开发者而言,可以把Kubernetes看成一个集群操作系统。Kubernetes提供服务发现、伸缩、负载均衡、自愈甚至选举等功能,让开发者从基础设施相关配置中解脱出来。
查询API版本信息列表 功能介绍 该API用于查询CCE服务当前支持的API版本信息列表。 调用方法 请参见如何调用API。 URI GET / 请求参数 无 响应参数 状态码: 200 表1 响应Body参数 参数 参数类型 描述 versions Array of APIVersionDetail
EulerOS 2.5 x86、CentOS 7.6 x86、EulerOS 2.9 x86、EulerOS 2.8 arm 父主题: 配置中心
Ingress控制器。 步骤二:在日志中心采集NGINX Ingress控制器插件日志 根据不同的场景,开通NGINX Ingress控制器插件日志采集的步骤如下: 集群未开通日志中心 集群已开通日志中心 如果集群未开通日志中心,您可以在开通日志中心时通过勾选“采集插件日志(NGINX
securityGroups 否 String 安全组ID。如果没有对安全组进行规划,请和default-network中的安全组保持一致。 获取方式: 登录虚拟私有云控制台,在左侧导航栏选择“访问控制 > 安全组”,单击安全组名称,在“基本信息”页签下找到“ID”字段复制即可。 subnets
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
