检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
单击安全组名称,进入详情页面,请确保集群控制节点的安全组规则的正确性。 安全组的详细说明请参见集群安全组规则配置。 排查项二:集群是否过载 问题现象 集群Master节点的使用率达到100%。
无 允许 - 配置项承载的配置信息主体内容 配置建议: 建议将配置项与data中的键一一对应,避免将多项配置结构整体作为data中的一项来维护,配置更新过程中可能产生误覆盖等问题 Configmap没有加密等保护机制,请不要用来存放账号凭据等敏感信息,否则可能导致敏感信息泄露等安全问题
插件高可用部署 应用场景 CCE提供了多种插件扩展集群云原生能力,涵盖了容器调度与弹性、云原生可观测、容器网络、容器存储、容器安全等方向,插件通过Helm模板方式部署,将插件中的工作负载部署至集群的工作节点。 随着插件使用的普及化,业务对插件的稳定性、可靠性保证已成为基本诉求。
容器镜像服务 企业版:提供企业级的独享安全托管服务,支持镜像加签、镜像安全扫描,保障数据安全。 所属实例:选择企业版仓库实例,您需要提前购买一个企业版仓库,详情请参见购买仓库。 域名:企业版仓库支持配置多个自定义域名,您可以选择采用默认域名或自定义域名。
VPC连接 集群网络地址段规划实践 创建集群时,会自动新建并绑定默认安全组,支持根据业务需求设置自定义安全组规则。 部署 安全组是重要的安全隔离手段,不当的安全策略配置可能会引起安全相关的隐患及服务连通性等问题。 如何设置安全组? 如何加固CCE集群的节点VPC安全组规则?
这种方式可以确保不同用户之间的隔离和安全性,同时也方便了管理和授权。但该凭证的有效时间一般为固定值,当持有该凭证的员工离职或已授权的凭证疑似泄露等场景发生时,需要手动吊销集群访问凭证,以确保集群安全。
它允许用户使用其他用户的安全特权运行程序。
集群备份恢复 CCE备份恢复为无状态和有状态应用的备份和恢复提供了一套可靠、安全、灵活且高效的解决方案。通过遵循CCE备份恢复的全流程指导,您可以顺利地完成应用的备份和恢复。 建议在用户业务量小时执行备份和恢复操作。 方案优势 易用性:在应用备份和恢复阶段,已实现工具自动化。
使用云服务 容器镜像服务SWR:是一种支持容器镜像全生命周期管理的服务, 提供简单易用、安全可靠的镜像管理功能,帮助用户快速部署容器化服务。
通过跨账户挂载对象存储,您可以实现数据共享,降低存储和传输成本,同时确保数据的安全性和一致性。这种方式使多个团队或组织能够安全、便捷地访问彼此的数据资源,避免重复存储和冗余传输,同时确保数据的最新性和合规性,从而提升整体的业务效率和安全性。
漏洞修复方案 容器内进程使用非root用户启动的进程可以通过为工作负载配置安全计算模式seccomp,建议配置RuntimeDefault模式或者禁用unshare等系统调用。具体配置方法可参考社区官方资料使用 Seccomp 限制容器的系统调用。
因此,不能依赖密钥的加密机制保证用户态的信息安全,敏感信息需要用户额外加密后再配置到data字段, 否则可能导致敏感信息泄露等安全问题 父主题: 密钥
图1 上传脚本 为脚本配置只读安全策略,保证CCE节点可以免密下载的的同时,外网不可以下载。 配置tools/cce目录的策略,选择“只读模板”。 图2 配置对象策略 修改匿名用户、指定对象、条件的配置信息。
图1 CCE挂载对象存储卷 约束限制 安全容器不支持使用对象存储卷。 OBS限制单用户创建100个桶,但是CCE使用OBS桶为单个工作负载挂载一个桶,当工作负载数量较多时,容易导致桶数量超过限制,OBS桶无法创建。
加密云硬盘存储卷 云盘加密功能适用于需要高安全性或合规性要求的应用场景,可以保护数据的隐私性和自主性。本文将为您介绍如何使用数据加密服务(DEW)中管理的密钥对云盘存储卷数据进行加密。 前提条件 您已经创建好一个集群,并且在该集群中安装CCE容器存储(Everest)。
创建节点时执行安装前/后脚本 应用现状 在创建节点时,对于需要在节点上安装一些工具或者进行安全加固等操作时,可以使用安装前/后脚本实现。本文为您提供正确使用安装前/后脚本的指导,帮助您了解和使用安装前/后脚本。
创建节点时执行安装前/后脚本 应用现状 在创建节点时,对于需要在节点上安装一些工具或者进行安全加固等操作时,可以使用安装前/后脚本实现。本文为您提供正确使用安装前/后脚本的指导,帮助您了解和使用安装前/后脚本。
随着微服务的大量应用,其构成的分布式应用架构在运维、调试和安全管理等维度变得更加复杂,在管理微服务时,往往需要在业务代码中添加微服务治理相关的代码,导致开发人员不能专注于业务开发,还需要考虑微服务治理的解决方案,并且将解决方案融合到其业务系统中。
节点排水 操作场景 您可以通过控制台使用节点排水功能,系统会将节点设置为不可调度,然后安全地将节点上所有符合节点排水规则说明的Pod驱逐,后续新建的Pod都不会再调度到该节点。
3.10.0-1160.92.1.el7.x86_64 2023年12月 更新系统内核,修复安全漏洞。 3.10.0-1160.90.1.el7.x86_64 2023年8月 更新系统内核,修复安全漏洞。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
