检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
负载配置或容器镜像具备如下特征时,可能存在风险: 工作负载中容器进程的WORKDIR为 /proc/self/fd/<num>。 图1 有安全风险的工作负载配置示例 工作负载的容器镜像中默认WORKDIR或启动命令包含 /proc/self/fd/<num>。 可通过以下命令查看容器镜像元数据:
later 问题原因:联邦需要访问CCE集群的5443端口,但是CCE集群的控制面安全组入方向规则不允许120.46.145.12(源地址)访问CCE集群的5443端口。 解决方案:修改CCE控制面入方向安全组,允许120.46.145.12(源地址)访问CCE集群的5443端口。 现
附着集群接入网络的方法有两种,具有不同的优点: 公网接入:具有弹性灵活、成本低、易接入的优点。 私网接入:可获得更加高速、低时延、稳定安全的体验。 图2 集群接入原理 父主题: 附着集群
CVE-2023-44487 高 2023-10-10 漏洞影响 此漏洞为拒绝服务类型漏洞,不影响数据安全,但恶意攻击者可能通过此漏洞造成服务器拒绝服务,导致服务器宕机。 漏洞修复方案 请在VPC内做好安全组加固,确保仅暴露接口给受信用户。 参考链接 HTTP/2协议拒绝服务漏洞 附:为何影响?
GitOps实现方式 GitOps优势 简单易学:Git易于被开发者接受,易于集成,无需额外学习成本。 安全性高:开发者使用GitOps无需任何Kubernetes集群权限,仅需要Git仓库权限,保证集群安全可靠。 可靠性强:提供原生Kubernetes资源、Helm Chart资源、Kusto
在AWS基础设施上构建多云集群时,将自动在AWS控制台创建以下资源,请确保资源配额足够: 表1 资源数量 资源类型 EC2 NAT VPC 子网 路由表 互联网网关 弹性IP 安全组 网络ACL ELB 网络接口 存储卷 数量 3台 3个 1个 6个 7个 1个 3个 5个 1个 1个 4个 6块 表2 EC2资源规格
5},其中${i}默认为0 安全组 5 ${clusterName}-node ${clusterName}-lb ${clusterName}-apiserver-lb ${clusterName}-controlplane default 以上安全组对应的VPC均为:${clusterName}-vpc
则可保留perl解释器,否则需要去除。 perl (/usr/bin/perl) 操作系统中不允许安装显示安全策略的工具 防止系统的安全信息泄露。依照业务需求,预安装的安全加固工具,限制其文件的所有者为root,并且仅root具有执行权限。 操作系统中不允许存在网络嗅探类的工具
本地集群接入网络的方法有两种,具有不同的优点: 公网接入:具有弹性灵活、成本低、易接入的优点。 私网接入:可获得更加高速、低时延、稳定安全的体验。 图2 集群接入原理 父主题: 本地集群
登录UCS控制台,选择“容器舰队”或“未加入舰队的集群”内一个正在运行的低版本集群,单击右下方“升级集群”。 下载更新工具,请使用一台能连接集群的节点作为执行机,先使用如下命令下载新版本的集群管理工具: curl https://ucs-onprem.obs.XXXX.huawei.c
DOWNSTREAM连接的对端地址 同HTTP 同HTTP 10.44.1.23:46520 requested_server_name SSL连接的SNI 同HTTP \ xxx upstream_transport_failure_reason 传输层失败原因(TLS等) \ \
前往UCS控制台,单击待接入集群栏的“单击接入,选择”“公网接入”,可查看详细的公网接入流程。 下载集群代理agent的配置文件。 集群代理配置存在私有密钥信息,每个集群代理配置仅能下载一次,请您妥善保管。 将步骤2中的agent配置文件上传至节点。 单击“安装集群代理agent配
因此需要在集群中配置网络代理来接入网络。 登录UCS控制台。 单击待接入集群栏的“公网接入”,下载集群代理agent的配置文件。 集群代理配置存在私有密钥信息,每个集群代理配置仅能下载一次,请您妥善保管。 使用kubectl连接集群,使用如下命令在集群中创建一个名为“agent.
多集群的统一配置策略管理,支持企业级项目的租户权限管理,可精细化管理子账号对接入Kubernetes资源的访问权限。以及统一管理各个集群的安全策略和资源访问限制,便于多云多集群的合规性审计。UCS还提供按“应用->Region->集群->资源粒度”进行监控运维,以及灵活的Dash
取的用户Token。有了Token之后,您就可以使用Token认证调用其他API。 建议在配置文件或者环境变量中密文存放,使用时解密,确保安全。 图1 管理员创建IAM用户响应消息头 响应消息体(可选) 该部分可选。响应消息体通常以结构化格式(如JSON或XML)返回,与响应消息
按照服务功能进行分类,目前有“全部”、“运行时”、“流媒体&消息”、“集成交付”、“数据库”、“日志”、“监控”、“大数据”、“开发工具”、“网络”、“安全”、“AI/机器学习”、“其他”。 架构 服务支持的架构类型,当前分为“全部”、“X86_64”和 “ARM”。 交付方式 分为“全部”、“Operator”和“Helm”。
检查ELB监听器后端是否正常挂载后端服务器组、后端实例是否运行正常,健康检查是否正常。 请提前放开容器的安全组。以CCE Turbo集群为例,请在集群总览页面>网络信息>默认容器子网安全组中放开其他地域的ELB实例的网段。 配置DNS访问 本文以华为云的内网DNS为例,您也可自行配置DNS。
UCS集群联邦使用Kubernetes原生RBAC鉴权方式,通过创建RBAC资源,为子用户授予联邦访问权限。 使用拥有Tenant Administrator权限的用户,下载并配置好 KubeConfig 文件。详细请参见使用kubectl连接集群联邦。 将如下内容保存为list-deploy.yaml文件。 apiVersion:
<kubeconfig-of-karmada> 可访问联邦控制面的kubeconfig文件内容。关于如何下载满足要求的kubeconfig文件,请参见kubeconfig。 注意: 下载kubeconfig文件时,需要选择部署集群所在的VPC,或者通过云连接、对等连接等方式打通到集群网络的VPC。
集群Kubernetes审计日志说明 类别 组件 日志流 说明 控制面审计日志 audit audit-{{clusterID}} 集群审计日志提供了与安全相关的、按时间顺序排列的记录集,记录每个用户、使用Kubernetes API的应用以及控制面自身引发的活动。 开启本地集群控制面审计日志
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
