检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465) 漏洞详情 业界安全研究人员披露runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。
linux内核导致的容器逃逸漏洞公告(CVE-2022-0492) 漏洞详情 在某些场景下linux内核cgroup v1的release_agent特性存在可以被利用在容器内逃逸到OS上的安全问题,该问题已被收录为CVE-2022-0492。
业务分离管理 可以为服务器实例配置多个分属于同一VPC内不同子网的弹性网卡,特定网卡分别承载云服务器实例的内网、外网、管理网流量。针对子网可独立设置访问安全控制策略与路由策略,弹性网卡也可配置独立安全组策略,从而实现网络隔离与业务流量分离。
当云主机同时配置弹性公网IP服务和NAT网关服务时,数据均通过弹性公网IP转发。 SNAT规则中添加的自定义网段,对于虚拟私有云的配置,必须是虚拟私有云子网网段的子集,不能相等。
kubectl get ingress 回显如下,表示Ingress服务创建成功。
CentOS 8系统2021年12月31日已停止维护服务,CentOS 7系统于2024年06月30日停止维护服务。CentOS官方不再提供CentOS 9及后续版本,不再支持新的软件和补丁更新。CentOS用户现有业务随时面临宕机和安全风险,并无法确保及时恢复。
CCE集群安全配置建议 集群迁移实践 将K8s集群迁移到CCE 父主题: 集群
CCE集群备份恢复插件版本发布记录(停止维护) 表1 CCE集群备份恢复插件版本记录 插件版本 支持的集群版本 更新特性 1.2.0 v1.15 v1.17 v1.19 v1.21 支持EulerOS 2.0 (SP5,SP9) 配置安全加固 功能优化 父主题: 插件版本发布记录
父主题: 服务(Service)
公网访问CCE部署的服务并上传OBS,为何报错找不到host? 线下机器访问CCE部署的服务并上传OBS,报错找不到host,报错截图如下: 问题定位 服务收到http请求之后,向OBS传输文件,这些报文都会经过Proxy。
Pod的编排与调度 无状态负载(Deployment) 有状态负载(StatefulSet) 普通任务(Job)和定时任务(CronJob) 守护进程集(DaemonSet) 亲和与反亲和调度
约束与限制 仅使用独享型ELB时,Ingress支持对接HTTPS协议的后端服务。 对接HTTPS协议的后端服务时,Ingress的对外协议也需要选择HTTPS。 配置HTTPS协议的后端服务 您可以使用以下方式为Ingress配置HTTPS协议的后端服务。
Kubernetes kube-apiserver输入验证错误漏洞公告(CVE-2020-8559) 漏洞详情 Kubernetes官方披露了kube-apiserver组件的安全漏洞,攻击者可以通过截取某些发送至节点kubelet的升级请求,通过请求中原有的访问凭据转发请求至其它目标节点
对象存储卷概述 为满足数据持久化的需求,CCE支持将对象存储服务(OBS)创建的存储卷挂载到容器的某一路径下,对象存储适用于云工作负载、数据分析、内容分析和热点对象等场景。 图1 CCE挂载对象存储卷 约束限制 安全容器不支持使用对象存储卷。
它允许用户使用其他用户的安全特权运行程序。
签名SDK只提供签名功能,与服务提供的SDK不同,使用时请注意。 父主题: 如何调用API
多可用区部署:采用多可用区部署可以有效避免单可用区故障造成的整个服务的不可用。
网络 虚拟私有云 集群下控制节点和用户节点使用的虚拟私有云。
3.10.0-1160.92.1.el7.x86_64 2023年12月 更新系统内核,修复安全漏洞。 3.10.0-1160.90.1.el7.x86_64 2023年8月 更新系统内核,修复安全漏洞。
v1.15 v1.17 v1.19 配置seccomp默认规则 0.6.6 1.1.5 v1.15 v1.17 v1.19 兼容CCE v1.15集群 0.6.6 1.1.3 v1.17 v1.19 适配CCE v1.19集群 0.6.6 1.0.6 v1.15 v1.17 增加Pod安全策略资源
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
