检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
TCP健康检查的机制 ELB节点根据健康检查配置,向后端服务器(IP+健康检查端口)发送TCP SYN报文。 后端服务器收到请求报文后,如果相应的端口已经被正常监听,则会返回SYN+ACK报文。 如果在超时时间内没有收到后端服务器的SYN+ACK报文,则判定健康检查失败,然后发
CRI-O容器运行时引擎任意代码执行漏洞(CVE-2022-0811) 漏洞详情 crowdstrike安全团队披露CRI-O 1.19版本中存在一个安全漏洞,攻击者可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel
另外failureThreshold可以设置多次循环探测,这样在实际应用中健康检查的程序就不需要多次循环,这一点在开发应用时需要注意。 配置有效的Liveness Probe Liveness Probe应该检查什么 一个好的Liveness Probe应该检查应用内部所有关键部分是否健康,并使用一个专有的U
创建VPC和子网 背景信息 在创建集群之前,您需要创建虚拟私有云(VPC),为CCE服务提供一个安全、隔离的网络环境。 如果用户已有VPC,可重复使用,不需多次创建。 创建VPC 登录管理控制台,选择“网络 > 虚拟私有云 VPC”。 在虚拟私有云控制台,单击右上角的“创建虚拟私有云”,按照提示完成创建。
SNI证书是一种扩展服务器证书,允许同一个IP地址和端口号下对外提供多个访问域名,可以根据客户端请求的不同域名来使用不同的安全证书,确保HTTPS通信的安全性。 在配置SNI时,用户需要添加绑定域名的证书,客户端会在发起SSL握手请求时就提交请求的域名信息,负载均衡收到SSL请求
集群日常管理实践 预防集群过载的配置建议 CCE集群高可用推荐配置 通过kubectl对接多个集群 集群视角的成本可视化最佳实践 集群安全实践 CCE集群安全配置建议 集群迁移实践 将K8s集群迁移到CCE 父主题: 集群
详情请参见创建证书。 如果无法根据客户端请求的域名查找到对应的SNI证书,则默认返回服务器证书。 安全策略:当监听器端口启用HTTPS时,支持选择可用的安全策略,更多信息请参见安全策略。v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。
ports添加健康检查的目标端口,由协议、端口号组成,如:TCP:80 monitor_port 否 String 重新指定的健康检查端口,不指定时默认使用业务端口。 说明: 请确保该端口在Pod所在节点已被监听,否则会影响健康检查结果。 delay 否 String 健康检查间隔(秒)
漏洞影响 影响版本:所有目前主流的Linux版本 安全版本:查看各Linux厂商安全公告 漏洞处理方案 目前RedHat、Ubuntu、Debian、SUSE等各大Linux厂商均已发布补丁版本修复了该漏洞,请受影响的用户升级到安全版本,若无法及时升级,可参考厂商官方提供的建议进行缓解。
3协议的套件(即支持ecc又支持rsa) 配置建议: 在加密套件支持的情况下,请尽量使用安全级别高的安全策略 缺省支持的安全策略为tls-1-2,客户端需配合支持安全策略类型 自定义安全策略 路由对接的监听器使用的自定义安全策略的ID 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation:
登录节点 前提条件 使用SSH方式登录时,请确认节点安全组已放通SSH端口(默认为22)。详情请参见配置安全组规则。 通过公网使用SSH方式登录时要求该节点(弹性云服务器 ECS)已绑定弹性公网IP。 只有运行中的弹性云服务器才允许用户登录。 Linux操作系统用户名为root。
需要检查kubectl到集群Master节点的网络是否能够连通。 解决方法 如果是在集群外部执行kubectl,请检查集群是否绑定公网IP,如已绑定,请重新下载kubeconfig文件配置,然后重新执行kubectl命令。 如果是在集群内节点上执行kubectl,请检查节点的安
运维对集群做变更前的集群状况检测,可随时主动触发健康诊断 支持运维的定时巡检,可设置定时执行时间,定期检查集群风险 集群诊断健康提炼了运维专家提供的高频故障案例,分别从如下方面进行检查: 维度 检查项 运维层面 集群运维能力 集群安全组配置正确性 集群资源规划合理性 租户配额是否充足 资源与业务层面 存储插件(everest)健康程度
trol-”字样,即为本集群安全组。 排查安全组中规则是否被修改,关于安全组的详细说明请参见集群安全组规则配置。 排查项五:检查安全组规则中是否包含Master和Node互通的安全组策略 请检查安全组规则中是否包含Master和Node互通的安全组策略。 已有集群添加节点时,如果
runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465) 漏洞详情 业界安全研究人员披露runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。
-control-”字样,即为本集群安全组。 排查安全组中规则是否被修改,关于安全组的详细说明请参见集群安全组规则配置。 检查安全组规则中是否包含Master和Node互通的安全组策略 请检查安全组规则中是否包含Master和Node互通的安全组策略。 已有集群添加节点时,如果子
CCE集群控制面已经通过安全组进行防护,只允许从租户节点或者相邻节点访问安全端口,默认安全。 集群node节点上系统组件监听在127.0.0.1的端口只涉及健康检查、监控信息查询等请求,不会有信息泄露风险。 综上,该CVE对CCE集群影响不大。 漏洞修复方案 目前官方已提供安全版本修复了该漏洞,请受影响的用户升级至以下安全版本。
通过跨账户挂载对象存储,您可以实现数据共享,降低存储和传输成本,同时确保数据的安全性和一致性。这种方式使多个团队或组织能够安全、便捷地访问彼此的数据资源,避免重复存储和冗余传输,同时确保数据的最新性和合规性,从而提升整体的业务效率和安全性。 操作流程 假设账号B在某种情况下需要访问和使用账号A的某
问题。 执行以下命令检查域名在权威DNS的解析是否生效。 nslookup -qt=类型 域名 权威DNS地址 检查集群节点安全组规则,确认30000-32767范围内的业务端口在入方向对所有网段放开。如需对安全组进行加固,详情请参见集群安全组规则配置。 检查Service是否可
cce部分下,方便维护,后续还可以放其他的工具脚本。 注意事项 脚本实现的自定义操作如果失败,会影响正常业务运行,建议在脚本最后添加检查程序。若检查失败,可以在安装后脚本中将kubelet进程停止掉,避免业务调度到该节点上。 systemctl stop kubelet-monit
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
