检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
path'限制在已知安全字符中(参考社区最新规则,或者采用annotation-value-word-blocklist中的建议值)。 2. 漏洞CVE-2021-25746消减措施:通过实施准入策略,将'metadata.annotations'的值限制在已知的安全字符中(参考社区
containerd镜像Volume非安全处理漏洞公告(CVE-2022-23648) 漏洞详情 containerd开源社区中披露了一个漏洞,如果镜像具有恶意的属性,在容器内的进程可能会访问主机上任意文件和目录的只读副本,从而造成宿主机上敏感信息泄露。 表1 漏洞信息 漏洞类型
为反向代理将外部流量导入到集群内部,将Kubernetes内部的Service暴露给外部,在Ingress对象中通过域名匹配Service,这样就可以直接通过域名访问到集群内部的服务。 nginx-ingress由ingress-controller和nginx组件组成: ing
常工作,但是JVM进程却是一直运行的,对于这种应用本身业务出了问题的情况,Kubernetes提供了Liveness Probe机制,通过检测容器响应是否正常来决定是否重启,这是一种很好的健康检查机制。 毫无疑问,每个Pod最好都定义Liveness Probe,否则Kubernetes无法感知Pod是否正常运行。
描述 securityGroups 否 String 安全组ID。如果没有对安全组进行规划,请和default-network中的安全组保持一致。 获取方式: 登录虚拟私有云控制台,在左侧导航栏选择“访问控制 > 安全组”,单击安全组名称,在“基本信息”页签下找到“ID”字段复制即可。
-control-”字样,即为本集群安全组。 排查安全组中规则是否被修改,关于安全组的详细说明请参见集群安全组规则配置。 检查安全组规则中是否包含Master和Node互通的安全组策略 请检查安全组规则中是否包含Master和Node互通的安全组策略。 已有集群添加节点时,如果子
集群内访问(ClusterIP) 操作场景 集群内访问表示工作负载暴露给同一集群内其他工作负载访问的方式,可以通过“集群内部域名”访问。 集群内部域名格式为“<服务名称>.<工作负载所在命名空间>.svc.cluster.local:<端口号>”,例如“nginx.default
节点ARP表项超过限制 问题现象 ARP缓存超限,容器网络的访问出现异常,例如coredns域名解析概率失败。 问题根因 出现该问题的原因是节点上容器缓存的ARP表项超过限制。 问题定位 在节点操作系统内核为4.3以上时,dmsg日志中会有显性的打印neighbor table over
云容器引擎CCE服务已通过等保三级认证,您可以在创建节点时进行安全加固,详情请参见如何进行安全加固。 但在您使用集群前,还需要充分理解云容器引擎的安全责任边界,华为云无法限制您在服务托管范围外的行为,您需要为这部分的行为承担安全责任。详情请参见责任共担。 如何进行安全加固 登录CCE控制台。 在左侧导航栏
coredns:表示安装CoreDNS域名解析插件。 everest:表示安装CCE容器存储(Everest)插件。 node-local-dns:表示安装节点本地域名解析加速插件。 volcano:表示安装Volcano调度器插件。 npd:表示安装CCE节点故障检测插件。 cie-collector:表示安装云原生监控插件。
负载均衡器配置:转发策略配置 访问域名 路由转发策略的访问域名 参数名 取值范围 默认值 是否允许修改 作用范围 spec.rules[].host 无 空 允许 CCE Standard/CCE Turbo Ingress中一条转发策略的访问域名配置 访问URL 路由转发策略的访问URL
04或Huawei Cloud EulerOS 2.0操作系统的节点上不存在此问题,CentOS/Ubuntu18.04/EulerOS 2.5/EulerOS 2.9(低版本内核)/Huawei Cloud EulerOS 1.1操作系统则存在此问题。 解决方法 考虑采用NodeLocal
网”创建。创建后子网不可修改。 节点默认安全组 您可选择使用CCE自动生成的安全组,或选择已有安全组作为节点默认安全组。 须知: 节点默认安全组必须放通指定端口来保证集群内部正常通信,否则将无法成功创建节点,安全组端口配置说明请参考集群安全组规则配置。 启用IPv6 开启后将支持
CoreDNS视图 提供了负载域名解析的CoreDNS监控视图,包含请求、响应情况,以及缓存状况。 指标说明 CoreDNS视图暴露的指标如下: 图1 CoreDNS视图指标 表1 CoreDNS指标说明 指标名称 单位 说明 请求速率 个/秒 CoreDNS每秒请求个数 请求速率(记录类型)
CCE节点故障检测 插件介绍 CCE节点故障检测插件(node-problem-detector,简称NPD)是一款监控集群节点异常事件的插件,以及对接第三方监控平台功能的组件。它是一个在每个节点上运行的守护程序,可从不同的守护进程中搜集节点问题并将其报告给apiserver。n
对外端口:443 证书来源:“TLS密钥” 服务器证书:test 转发策略配置 域名:实际访问的域名地址,不配置时可通过IP地址访问Ingress。请确保所填写的域名已注册并备案,一旦配置了域名规则后,必须使用域名访问。 路径匹配规则:支持前缀匹配、精确匹配、正则匹配,请按需选择。 路径
络丢包等异常。 排查项五:检查容器所在节点安全组是否放通 用户可单击服务列表中的“网络 > 虚拟私有云 VPC”,在网络控制台单击“访问控制 > 安全组”,找到CCE集群对应的安全组规则进行修改和加固。 CCE集群: Node节点的安全组名称是:{集群名}-cce-node-{随机字符}。
同一个IP地址和端口号下对外提供多个基于TLS的访问域名,且不同的域名可以使用不同的安全证书。开启SNI后,允许客户端在发起TLS握手请求时就提交请求的域名信息。负载均衡收到TLS请求后,会根据请求的域名去查找证书:若找到域名对应的证书,则返回该证书认证鉴权;否则,返回缺省证书(服务器证书)认证鉴权。
节点网络配置 节点关联自定义安全组 节点池自定义安全组配置。 参数名 取值范围 默认值 是否允许修改 作用范围 customSecurityGroups UUID列表,最大支持配置5个。 禁止重复 NULL 允许 CCE Turbo 配置自定义安全组后,原集群默认节点安全组将不会被配置至新创建节点。
企业版:提供企业级的独享安全托管服务,支持镜像加签、镜像安全扫描,保障数据安全。 所属实例:选择企业版仓库实例,您需要提前购买一个企业版仓库,详情请参见购买仓库。 域名:企业版仓库支持配置多个自定义域名,您可以选择采用默认域名或自定义域名。关于自定义域名的操作详情请参见域名管理。 如果需要
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
