检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
若同时设置了security_policy_id和tls_ciphers_policy,则仅security_policy_id生效。 加密套件的优先顺序为ecc套件、rsa套件、tls1.3协议的套件 (即支持ecc又支持rsa) 请配置正确的安全策略ID 服务器证书ID 监听器对接已有的服务器证书和SNI证书,
如涉及使用匿名(不携带身份凭证)访问的场景(如使用kubeadm过程中涉及部分查询操作),可以按需开启匿名访问 开启匿名访问的场景下请对匿名请求的用户名和分组(system:anonymous/system:unauthenticated)对应RBAC权限进行严格管控,避免对匿名请求授予的权限过大引入安全风险
节点管理最佳实践 本文将为您介绍与节点管理相关的最佳实践,包括节点创建、管理和维护等方面,从而更好地满足业务需求。 场景分类 相关最佳实践 创建节点相关实践 制作CCE节点自定义镜像 创建节点时执行安装前/后脚本 创建节点时使用OBS桶实现自定义脚本注入 选择合适的节点数据盘大小
无 允许 CCE Standard/CCE Turbo 集群资源标签 为集群添加TMS资源标签,便于按照相应维度对集群资源和其他云服务资源进行统一检索和管理 参数名 取值范围 默认值 是否允许修改 作用范围 clusterTags 标签以key=value的形式赋值,其中key
CCE支持为集群下节点和容器挂载存储,因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。 网络类服务 CCE支持集群下容器发布为对外访问的服务,因此需要获取访问虚拟私有云、弹性负载均衡等服务的权限。 容器与监控类服务 CCE集群下容器支持镜像拉取、监控和日志分析等功能,需要获取访问容器镜像、应用管理等服务的权限。
将本账号的VPC资源共享给其他账号使用。例如,租户A可以将自己账号下创建的VPC和子网共享给租户B。在租户B接受共享以后,租户B账号下可以查看到该共享子网及其所属的共享VPC,并可以使用该共享子网和共享VPC创建资源,如CCE Turbo集群。详情请参见共享VPC概述。 使用场景
23中PodSecurity默认启用。 社区1.22 ReleaseNotes Ingress资源不再支持networking.k8s.io/v1beta1和extensions/v1beta1 API。如果使用旧版本API管理Ingress,会影响应用对外暴露服务,请尽快使用networking
ontainerd,具体操作请参见将节点容器引擎从Docker迁移到Containerd。 Containerd和Docker的对比请参见容器引擎Containerd和Docker。 父主题: 产品变更公告
应云服务的计费说明,本文中不再说明。 表1 适用计费项 计费项 资源类型 说明 集群 - 根据集群规模和高可用模式计费。 节点(弹性云服务器 ECS) 实例规格 包括vCPU和内存。 云硬盘 随包年/包月云服务器创建的云硬盘,其计费模式也为包年/包月。包括系统盘和数据盘。 弹性公网IP
节点池管理最佳实践 本文将为您介绍与节点池管理相关的最佳实践,包括节点池创建、管理和弹性伸缩等方面,从而更好地满足业务需求。 场景分类 相关最佳实践 创建节点池相关实践 制作CCE节点自定义镜像 创建节点时执行安装前/后脚本 创建节点时使用OBS桶实现自定义脚本注入 选择合适的节点数据盘大小
23中PodSecurity默认启用。 社区1.22 ReleaseNotes Ingress资源不再支持networking.k8s.io/v1beta1和extensions/v1beta1 API。如果使用旧版本API管理Ingress,会影响应用对外暴露服务,请尽快使用networking
5p1的所有稳定版本。成功利用此漏洞,任何没有特权的用户都可以在易受攻击的主机上获得root特权。 sudo是一个功能强大的实用程序,大多数基于Unix和Linux的操作系统都包含sudo。它允许用户使用其他用户的安全特权运行程序。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间
ingress-test-secret namespace: default type: IngressTLS 此处tls.crt和tls.key为示例,请获取真实的证书和密钥进行替换。tls.crt和tls.key的值为Base64编码后的内容。 创建密钥。 kubectl create -f ingress-test-secret
全面修复Kubernetes权限许可和访问控制漏洞公告(CVE-2018-1002105) 漏洞详情 近日,Kubernetes社区发现安全漏洞CVE-2018-1002105。通过伪造请求,Kubernetes用户可以在已建立的API Server连接上提权访问后端服务,华为云容器服务已在第一时间完成全面修复。
安全隔离:直接使用云上现有IAAS服务构建独享的云文件存储,为租户提供数据隔离保护和IOPS性能保障。 应用场景:适用于多读多写(ReadWriteMany)场景下的各种工作负载(Deployment/StatefulSet)、守护进程集(DaemonSet)和普通任务(Job)使用,主要面向高性能网站、日志存储、DevOps、企业办公等场景。
Server。 漏洞修复方案 除了升级之外,当前没有直接可用的缓解措施。集群管理员应注意控制权限,防止非受信人员通过APIService接口部署和控制聚合API Server。 该漏洞已在v1.23.5-r0、v1.21.7-r0、v1.19.16-r4版本的CCE集群中修复。 相关链接
为负载均衡类型的Service配置TLS TLS协议适用于需要超高性能和大规模TLS卸载的场景。您可以为Service配置TLS协议,转发来自客户端加密的TCP协议请求。 Service配置TLS协议依赖ELB能力,使用该功能前请确认当前区域是否支持使用TLS协议,详情请参见添加TLS监听器(独享型)。
9及后续版本,不再支持新的软件和补丁更新。CentOS用户现有业务随时面临宕机和安全风险,并无法确保及时恢复。 影响 基于CentOS官方的变更计划,对CentOS操作系统的使用者产生的影响如下所述: 2024年06月30日以后,CentOS 7的使用者将无法获得包括问题修复和功能更新在内的任何软件维护和支持。
CCE集群备份恢复(停止维护) 插件简介 CCE集群备份恢复插件(原名e-backup)提供集群备份恢复能力。它将用户应用数据和业务数据备份到OBS桶中,并提供数据的本地备份和远程备份的能力。 使用约束 备份/恢复过程中,用户要保证集群处于稳态,不要触发增删改等变更行为,以免出现备份/恢复失败或不完整;
--ignore-daemonsets:忽略节点上的守护进程集Pod,例如everest-csi-driver。 示例中节点上存在绑定本地存储的Pod和守护进程集Pod,因此驱逐命令如下: kubectl drain 192.168.0.160 --delete-emptydir-data --ignore-daemonsets
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
