检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
效的情况。 解决方法 一般情况下,您需要从证书提供商处获取有效的合法证书。如果您需要在测试环境下使用,您可以自建证书和私钥,方法如下: 自建的证书通常只适用于测试场景,使用时界面会提示证书不合法,影响正常访问,建议您选择手动上传合法证书,以便通过浏览器校验,保证连接的安全性。 自己生成tls
升级后验证 集群状态检查 节点状态检查 跳过节点检查 业务检查 新建节点检查 新建Pod检查 父主题: 升级集群
CCE集群创建时的根证书如何更新? CCE集群根证书是Kubernetes认证的基础证书,华为云上的Kubernetes集群管理面托管在CCE管理平台上,证书也在CCE的管理平台上,不对用户开放,这个证书在平台上会定期维护,不会出现过期的情况。 X509证书在Kubernetes
容器镜像签名验证 插件简介 容器镜像签名验证插件(swr-cosign)提供镜像验签功能,可以对镜像文件进行数字签名验证,以确保镜像文件的完整性和真实性,有效地防止软件被篡改或植入恶意代码,保障用户的安全。 约束与限制 使用镜像验签功能依赖容器镜像仓库企业版,请先创建一个企业版仓库。
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另
建节点”。节点配置详情请参见创建节点。 图1 创建节点 解决方案 若集群升级后您的集群无法创建节点,请联系技术支持人员。 父主题: 升级后验证
NGINX Ingress控制器验证绕过漏洞公告(CVE-2024-7646) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 验证绕过、命令注入 CVE-2024-7646 严重 2024-08-19 漏洞影响 在社区ingress-nginx控制器v1
修改主机内核参数配置net.ipv6.conf.all.accept_ra值为0,以拒绝接收IPv6路由发布。 业务容器结合使用TLS和适当的证书验证,防止中间人欺骗。 禁止在Pod中设置CAP_NET_RAW能力,防止恶意容器篡改IPv6路由: securityContext:
业务检查 检查项内容 集群升级完毕,由用户验证当前集群正在运行的业务是否正常。 检查步骤 业务不同,验证的方式也有所不同,建议您在升级前确认适合您业务的验证方式,并在升级前后均执行一遍。 常见的业务确认方式有: 业务界面可用 监控平台无异常告警与事件 关键应用进程无错误日志 API拨测正常等
获取集群证书 功能介绍 该API用于获取指定集群的证书信息。该API已废弃,请使用获取集群证书。 URI GET /api/v3/projects/{project_id}/clusters/{cluster_id}/clustercert 表1 路径参数 参数 是否必选 参数类型
容器镜像签名验证插件版本发布记录 表1 swr-cosign插件版本记录 插件版本 支持的集群版本 更新特性 1.0.2 v1.23 v1.25 v1.27 支持v1.27集群 1.0.1 v1.23 v1.25 支持镜像验签 父主题: 插件版本发布记录
系统会自动为您检查集群状态是否正常,您可以根据诊断结果前往集群列表页面进行确认。 解决方案 当集群状态异常时,请联系技术支持人员。 父主题: 升级后验证
试用工作负载。 解决方案 若Pod无法新建,或状态异常,请联系技术支持人员,并说明异常发生的范围为新建节点还是存量节点。 父主题: 升级后验证
诊断结果前往节点列表页面进行确认。 解决方案 集群节点异常时,建议您通过重置节点来解决,若无法解决,请联系技术支持人员。 父主题: 升级后验证
通过X509证书连接集群 操作场景 通过控制台获取集群证书,使用该证书可以访问Kubernetes集群。 操作步骤 登录CCE控制台,单击集群名称进入集群。 查看集群总览页,在右边“连接信息”下证书认证一栏,单击“下载”。 图1 获取证书 在弹出的“证书获取”窗口中,根据系统提示
对于升级详情页面中跳过的节点,请在升级完毕后重置节点。 重置节点会重置所有节点标签,可能影响工作负载调度,请在重置节点前检查并保留您手动为该节点打上的标签。 父主题: 升级后验证
Kubernetes kube-apiserver输入验证错误漏洞公告(CVE-2020-8559) 漏洞详情 Kubernetes官方披露了kube-apiserver组件的安全漏洞,攻击者可以通过截取某些发送至节点kubelet的升级请求,通过请求中原有的访问凭据转发请求至其
TLS密钥:创建密钥证书的方法请参见创建密钥。 ELB服务器证书:使用在ELB服务中创建的证书。 服务器证书:负载均衡器创建HTTPS协议监听时需要绑定证书,以支持HTTPS数据传输加密认证。 同一个ELB实例的同一个端口配置HTTPS时,一个监听器只支持配置一个密钥证书。若使用两个不同的密
通过X509证书连接集群 修改SAN后,需重新下载X509证书。 登录CCE控制台,单击集群名称进入集群。 查看集群总览页,在右边“连接信息”下证书认证一栏,单击“下载”。 在弹出的“证书获取”窗口中,根据系统提示选择证书的过期时间并下载集群X509证书。 使用集群证书调用Kubernetes原生API。
Ingress配置HTTPS证书 Ingress支持配置SSL/TLS证书,以HTTPS协议的方式对外提供安全服务。 当前支持在集群中使用以下方式配置Ingress证书: 使用TLS类型的密钥证书:需要将证书导入至Secret中,CCE会将该证书自动配置到ELB侧(证书名以k8s_p
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
