检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何批量修改集群node节点安全组? 约束与限制 一个安全组关联的实例数量建议不超过1000个,否则可能引起安全组性能下降。更多关于安全组的限制请参考安全组限制。 操作步骤 登录VPC控制台,并在左上角选择区域和项目。 在左侧导航树选择“访问控制 > 安全组”。 在安全组界面,单击操作列的“管理实例”。
security-group 关联安全组 选中的安全组将绑定到选中的工作负载的弹性网卡/辅助弹性网卡上,在下拉框中最多可以选择5条,安全组必选,不可缺省。 如将绑定的安全组未创建,可单击“创建安全组”,完成创建后单击刷新按钮。 须知: 最多可选择5个安全组。 鼠标悬浮在安全组名称上,可查看安全组的详细信息。
vOps重要性日益显著。 方案架构 该方案使用Gitlab和Jenkins来实现容器应用的自动化构建和持续部署,其中Gitlab提供了源码管理和版本控制的功能,而Jenkins则负责进行容器应用的构建和部署。并且为了保证生产环境和测试环境互不影响,该方案使用了两个独立的Kuber
v1.17.17版本的集群默认启用Pod安全策略准入控制组件,并创建名为psp-global的全局默认安全策略,您可根据自身业务需要修改全局策略(请勿直接删除默认策略),也可新建自己的Pod安全策略并绑定RBAC配置。 除全局默认安全策略外,系统为kube-system命名空间
Turbo集群:在集群的ENI安全组中添加出方向规则。 登录VPC控制台。 在左侧导航栏中选择“访问控制>安全组”。 找到集群对应的ENI安全组,命名格式为{集群名}-cce-eni-{随机ID},单击该安全组名称配置规则。 切换至“出方向规则”页签,并单击“添加规则”,为安全组添加出方向规则。
在CCE集群中使用密钥Secret的安全配置建议 当前CCE已为secret资源配置了静态加密,用户创建的secret在CCE的集群的etcd里会被加密存储。当前secret主要有环境变量和文件挂载两种使用方式。不论使用哪种方式,CCE传递给用户的仍然是用户配置时的数据。因此建议:
安全组ID,数量不多于5个,多个安全组之间以英文逗号分隔。 yangtse.io/additional-security-group-ids 为Pod添加安全组配置,即在已有的配置上增加指定的安全组。 安全组ID,安全组ID数量和已有的安全组数量相加不多于5个,多个安全组之间以英文逗号分隔。
插件状态。详情请参见CCE节点故障检测。 集群配置 安全组配置是否正确 否 集群安全组配置异常,直接影响节点之前的通信,导致节点不可用。请使用默认安全组配置。 核心插件维度 集群诊断场景 诊断项 是否需要开通监控中心 修复方案 coredns插件状态 coredns插件状态 否
在左侧导航栏中选择“总览”,查看“网络信息”,单击“节点默认安全组”,跳转到安全组页面。 选择“入方向规则”,并根据源地址过滤容器子网网段,找到对应的安全组规则。 单击“删除”,删除关联的子网安全组规则。 父主题: 网络指导
修复Kubernetes Dashboard安全漏洞公告(CVE-2018-18264) 漏洞详情 Kubernetes社区发现Kubernetes Dashboard安全漏洞CVE-2018-18264:使用Kubernetes Dashboard v1.10及以前的版本有跳过
动创建永久ServiceAccount Token的机制,但还是推荐使用TokenRequest的方式使用短期的Token,以提高安全性。 排查方案 CCE提供以下排查方式供用户参考(CCE 1.21及以上版本的集群均涉及): 排查集群中使用的插件版本。 若用户集群中有使用2.23
容器镜像服务,节省运维成本。 如何把已有的镜像仓库平滑地迁移到容器镜像服务?这里将介绍3种常见的方案,您可以根据自己的实际使用场景来选择。 迁移方案 表1 迁移方案及适用场景对比 方案类型 适用场景 注意事项 使用docker命令将镜像迁移至SWR 待迁移的镜像数量较少 依赖磁盘
析服务器解析。 如果是访问华为云内部域名,则直接使用华为云内部域名解析服务器解析 图4 方案二:修改CoreDNS配置 方案比较 方案 优点 缺点 方案一:通过DNS Endpoint做级联解析 支持在CCE集群节点容器与节点同时解析外部域名 解析华为云内部域名时也需要通过外部域名解析服务器转发,存在性能损耗
Kubernetes安全漏洞公告(CVE-2020-8554) 漏洞详情 CVE-2020-8554是Kubernetes社区发现的关于集群内网络流量劫持的安全问题。具有创建和更新Service和Pod对象权限的潜在攻击者,能够劫持集群内来自其他Pod或者节点的流量。潜在攻击者通过设置Service对象的spec
Kubernetes安全漏洞公告(CVE-2022-3172) 漏洞详情 Kubernetes社区在 kube-apiserver 中发现了一个安全问题,该问题允许聚合 API Server将客户端流量重定向到任意 URL,这可能导致客户端执行意外操作以及将客户端的 API 服务器凭据转发给第三方。
集群节点如何不暴露到公网? 问题解决: 如果不需要访问集群节点的22端口,可在安全组规则中禁用22端口的访问。 如非必须,集群节点不建议绑定EIP。 如有远程登录集群节点的需求,推荐使用华为云堡垒机服务作为中转连接集群节点。 父主题: 安全加固
容器镜像签名验证插件(swr-cosign)提供镜像验签功能,可以对镜像文件进行数字签名验证,以确保镜像文件的完整性和真实性,有效地防止软件被篡改或植入恶意代码,保障用户的安全。 约束与限制 使用镜像验签功能依赖容器镜像仓库企业版,请先创建一个企业版仓库。 安装插件 登录CCE控制台,单击集群名称进入集群,单击左
ServiceAccount Token安全性提升说明 发布时间:2022/11/24 Kubernetes 1.21及以上版本的集群中,Pod将不再自动挂载永久Token,默认使用TokenRequest API获得Token,并使用投射卷(Projected Volume)挂载到Pod中。
单独扩展:拆分为微服务后,可单独增加或缩减每个微服务的实例数量。 提升开发速度:各微服务之间解耦,某个微服务的代码开发不影响其他微服务。 通过隔离确保安全:整体应用中,若存在安全漏洞,会获得所有功能的权限。微服务架构中,若攻击了某个服务,只可获得该服务的访问权限,无法入侵其他服务。 隔离崩溃:如果其中一
Apache containerd安全漏洞公告(CVE-2020-15257) 漏洞详情 CVE-2020-15257是containerd官方发布的一处Docker容器逃逸漏洞。containerd是一个支持Docker和常见Kubernetes配置的容器运行时管理组件,它处理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
