检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
修复Kubernetes Dashboard安全漏洞公告(CVE-2018-18264) 漏洞详情 Kubernetes社区发现Kubernetes Dashboard安全漏洞CVE-2018-18264:使用Kubernetes Dashboard v1.10及以前的版本有跳过
VPC”,在网络控制台单击“访问控制 > 安全组”。 在界面右侧的安全组列表中找到集群的安全组。单击“入方向规则”页签,单击“添加规则”,添加入方向规则如下。 集群类型 ELB类型 放通安全组 协议端口 放通源地址网段 CCE Standard 共享型ELB 节点安全组,名称规则默认是{集群名}-cce-node-{随机ID}
Kubernetes subpath符号链接交换安全漏洞(CVE-2021- 25741) 漏洞详情 社区在 Kubernetes 中发现了一个安全问题,用户可以创建一个带有subPath volume挂载的容器,访问卷外的文件和目录,包括主机文件系统上的文件和目录。 容器使用s
containerd镜像Volume非安全处理漏洞公告(CVE-2022-23648) 漏洞详情 containerd开源社区中披露了一个漏洞,如果镜像具有恶意的属性,在容器内的进程可能会访问主机上任意文件和目录的只读副本,从而造成宿主机上敏感信息泄露。 表1 漏洞信息 漏洞类型
nginx-ingress插件安全漏洞预警公告(CVE-2021-25748) 漏洞详情 Kubernetes开源社区中披露了1个ingress-nginx漏洞,用户通过Ingress 对象的“spec.rules[].http.paths[].path”字段可以获取ingres
path'限制在已知安全字符中(参考社区最新规则,或者采用annotation-value-word-blocklist中的建议值)。 2. 漏洞CVE-2021-25746消减措施:通过实施准入策略,将'metadata.annotations'的值限制在已知的安全字符中(参考社区
描述 securityGroups 否 String 安全组ID。如果没有对安全组进行规划,请和default-network中的安全组保持一致。 获取方式: 登录虚拟私有云控制台,在左侧导航栏选择“访问控制 > 安全组”,单击安全组名称,在“基本信息”页签下找到“ID”字段复制即可。
节点网络配置 节点关联自定义安全组 节点池自定义安全组配置。 参数名 取值范围 默认值 是否允许修改 作用范围 customSecurityGroups UUID列表,最大支持配置5个。 禁止重复 NULL 允许 CCE Turbo 配置自定义安全组后,原集群默认节点安全组将不会被配置至新创建节点。
络丢包等异常。 排查项五:检查容器所在节点安全组是否放通 用户可单击服务列表中的“网络 > 虚拟私有云 VPC”,在网络控制台单击“访问控制 > 安全组”,找到CCE集群对应的安全组规则进行修改和加固。 CCE集群: Node节点的安全组名称是:{集群名}-cce-node-{随机字符}。
云容器引擎CCE服务已通过等保三级认证,您可以在创建节点时进行安全加固,详情请参见如何进行安全加固。 但在您使用集群前,还需要充分理解云容器引擎的安全责任边界,华为云无法限制您在服务托管范围外的行为,您需要为这部分的行为承担安全责任。详情请参见责任共担。 如何进行安全加固 登录CCE控制台。 在左侧导航栏
K8s废弃API检查异常处理 检查项内容 系统会扫描过去一天的审计日志,检查用户是否调用目标K8s版本已废弃的API。 由于审计日志的时间范围有限,该检查项仅作为辅助手段,集群中可能已使用即将废弃的API,但未在过去一天的审计日志中体现,请您充分排查。 解决方案 检查说明 根据检查结果,检测到您的集群通过
容器网络配置 配置管理-容器网络配置 节点池Pod安全组配置 节点池中的节点上运行的 Pod 的安全组配置,可填写安全组 ID。与工作负载详情页面的安全组策略一起实现对集群下负载 Pod 网络访问控制。 参数名 取值范围 默认值 是否允许修改 作用范围 security_groups_for_nodepool
参数解释: 节点池自定义安全组相关配置。支持节点池新扩容节点绑定指定的安全组。 未指定安全组ID,新建节点将添加Node节点默认安全组。 指定有效安全组ID,新建节点将使用指定安全组。 指定安全组,应避免对CCE运行依赖的端口规则进行修改。详细设置请参考集群安全组规则配置。 约束限制:
024-6387) OpenSSH是一个基于SSH协议的安全网络通信工具,通过加密所有流量以消除窃听、连接劫持和其他攻击。此外,OpenSSH 还提供大量安全隧道功能、多种身份验证方法和复杂的配置选项,是远程服务器管理和安全数据通信的必备工具。 漏洞详情 表1 漏洞信息 漏洞类型
查。 在集群“总览”页面,在“网络信息”选择“节点默认安全组”,单击跳转到安全组页面,查看安全组入方向规则。 检查所有安全组规则,确认是否开启了来自VPC私网、目标端口为TCP/10250的入方向访问,若未开放,请添加上述安全组规则。 若以上均不符合,请提交工单咨询。 当前账号未被授予该操作所需的集群RBAC权限
约成本。 业务上云、数据本地托管 对于金融、医疗等行业用户,由于安全合规要求,敏感数据要求存储在本地IDC中,而一般业务由于高并发、快响应等方面的特点需要部署在云上,并需要进行统一管理。 开发与部署分离 出于IP安全的考虑,用户希望将生产环境部署在公有云上,而将开发环境部署在本地的IDC。
修复Kubernetes HTTP/2漏洞公告 漏洞详情 近期Kubernetes社区发布了与Go相关的安全漏洞CVE-2019-9512和CVE-2019-9514。具体的安全问题出现在Go语言的net/http库中,它会影响Kubernetes的所有版本和所有组件。这些漏洞可能导致所有处理HTTP或HTTPS
与运维等容器全栈能力,为您提供一站式容器平台服务。借助云容器引擎,您可以在华为云上轻松部署、管理和扩展容器化应用程序。 应用管理与运维平台(ServiceStage) ServiceStage应用管理与运维平台是一个应用托管和微服务管理平台,可以帮助企业简化部署、监控、运维和治理
修复Linux内核SACK漏洞公告 漏洞详情 2019年6月18日,Redhat发布安全公告,Linux内核处理器TCP SACK模块存在3个安全漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479),这些漏洞与最大分段大小(MSS)和T
CloudShell基于VPCEP实现,在CloudShell中使用kubectl访问集群需要在集群控制节点的安全组(安全组名称:集群名称-cce-control-随机数)中放通5443端口。5443端口默认对所有网段放通,如果您对安全组做过加固,当出现在CloudShell中无法访问集群时,请检查5443端口是否放通了198
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
