检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
问题根因 该场景引起的原因是集群关联的安全组中存在未删除的资源,该安全组无法删除,最终导致了集群删除失败。 操作步骤 复制报错信息中的资源ID,进入到VPC服务的安全组界面,根据ID过滤安全组。 单击进入安全组详情界面,选择关联实例页签。 查询该安全组关联的其他资源,例如服务器、弹性
在导航栏中选择“节点管理”,并切换至“节点”页签,单击“创建节点”。节点配置详情请参见创建节点。 图1 创建节点 解决方案 若集群升级后您的集群无法创建节点,请联系技术支持人员。 父主题: 升级后验证
Kubernetes subpath符号链接交换安全漏洞(CVE-2021- 25741) 漏洞详情 社区在 Kubernetes 中发现了一个安全问题,用户可以创建一个带有subPath volume挂载的容器,访问卷外的文件和目录,包括主机文件系统上的文件和目录。 容器使用s
适配CCE v1.23集群 1.0.1 v1.19 v1.21 支持主动感知SecretProviderClass对象的变化 父主题: 容器安全插件
containerd镜像Volume非安全处理漏洞公告(CVE-2022-23648) 漏洞详情 containerd开源社区中披露了一个漏洞,如果镜像具有恶意的属性,在容器内的进程可能会访问主机上任意文件和目录的只读副本,从而造成宿主机上敏感信息泄露。 表1 漏洞信息 漏洞类型
缺点:任务管理和执行都在同一台虚拟机上,安全风险较高。 单Master 容器 - 优点:利用K8s容器调度机制,拥有一定的自愈能力。 缺点:任务管理和执行没有分离,安全风险问题仍未解决。 Master加Agent 虚拟机 虚拟机 优点:任务管理和执行分离,降低了一定的安全风险。 缺点:只能固定A
nginx-ingress插件安全漏洞预警公告(CVE-2021-25748) 漏洞详情 Kubernetes开源社区中披露了1个ingress-nginx漏洞,用户通过Ingress 对象的“spec.rules[].http.paths[].path”字段可以获取ingres
端口的安全组规则,加固集群的访问控制策略。 登录CCE控制台,单击集群名称进入集群,在总览页面找到“集群ID”并复制。 登录VPC控制台,在左侧导航栏中选择“访问控制 > 安全组”。 在筛选栏中,选择筛选条件为“描述”,并粘贴集群ID进行筛选。 筛选结果中将会包含多个安全组,找到
而Pod Security Admission则是这些安全性标准的控制器,用于在创建Pod时执行定义好的安全限制。 Pod安全性标准定义了三种安全性策略级别: 表1 Pod安全性策略级别 策略级别(level) 描述 privileged 不受限制,通常适用于特权较高、受信任的
华为云支持哪几种开具发票模式? 华为云支持“按账期索取发票”和“按订单索取发票”模式。 您可在费用中心的发票管理开具发票。 父主题: 计费类
文件即可。 验证 通过浏览器访问Ingress地址可以正常访问,但因为是自己签发的证书和密钥,所以这里CA不认可,显示不安全。 图2 验证结果 父主题: 安全加固
版本号是否小于2.1.0 漏洞修复方案 1. 漏洞CVE-2021-25745消减措施:通过实施准入策略,将'networking.k8s.io/Ingress'中的'spec.rules[].http.paths[].path'限制在已知安全字符中(参考社区最新规则,或者采用a
VPC”,在网络控制台单击“访问控制 > 安全组”。 在界面右侧的安全组列表中找到集群的安全组。单击“入方向规则”页签,单击“添加规则”,添加入方向规则如下。 集群类型 ELB类型 放通安全组 协议端口 放通源地址网段 CCE Standard 共享型ELB 节点安全组,名称规则默认是{集群名}-cce-node-{随机ID}
在使用前做好评估。 迁移方案 本文介绍一种集群迁移方案,适合如下几类集群: 本地IDC自建的K8s集群 通过多台ECS自建的集群 其他云服务商提供的集群服务 停止维护,无法原地升级的需要迁移的CCE集群 在迁移前,需对原集群的所有资源进行分析再决定迁移方案,可迁移的资源包括集群内资源和集群外资源,如下表所示。
受限的everest插件版本 插件名称 涉及版本 everest v1.0.2-v1.0.7 v1.1.1-v1.1.5 解决方案 检测到当前everest版本存在兼容性限制,无法随集群升级,请联系技术支持人员。 父主题: 升级前检查异常问题排查
云容器引擎CCE服务已通过等保三级认证,您可以在创建节点时进行安全加固,详情请参见如何进行安全加固。 但在您使用集群前,还需要充分理解云容器引擎的安全责任边界,华为云无法限制您在服务托管范围外的行为,您需要为这部分的行为承担安全责任。详情请参见责任共担。 如何进行安全加固 登录CCE控制台。 在左侧导航栏
描述 securityGroups 否 String 安全组ID。如果没有对安全组进行规划,请和default-network中的安全组保持一致。 获取方式: 登录虚拟私有云控制台,在左侧导航栏选择“访问控制 > 安全组”,单击安全组名称,在“基本信息”页签下找到“ID”字段复制即可。
检查节点关键数据盘使用量是否满足升级要求 检查/tmp目录是否存在500MB可用空间 解决方案 节点升级过程中需要使用磁盘存储升级组件包,使用/tmp目录存储临时文件。 问题场景一:Master节点磁盘使用量不满足升级要求 请联系技术支持人员排查处理。 问题场景二:用户节点磁盘使用量不满足升级要求 请执
查。 在集群“总览”页面,在“网络信息”选择“节点默认安全组”,单击跳转到安全组页面,查看安全组入方向规则。 检查所有安全组规则,确认是否开启了来自VPC私网、目标端口为TCP/10250的入方向访问,若未开放,请添加上述安全组规则。 若以上均不符合,请提交工单咨询。 当前账号未被授予该操作所需的集群RBAC权限
内部错误异常处理 检查项内容 该检查非常规检查项,表示升级前检查流程中出现了内部错误。 解决方案 该问题出现后,请您优先重试升级前检查; 若重试升级前检查仍失败,请您提交工单,联系技术支持人员。 父主题: 升级前检查异常问题排查
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
