检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
本地集群 创建终端节点以私网接入本地集群 使用工作负载Identity安全访问云服务
工作负载部署时挂载ServiceAccount对应的Token,使用此Token访问云服务,IAM 使用该公钥验证Token,从而无需直接使用 IAM 账号的 AK/SK 等信息,降低安全风险。
第三方注册中心接入能力 ASM提供了服务网格对接Nacos注册中心功能,便于将Nacos上的微服务同步到网格中,实现流量治理等功能。 操作步骤 通过使用kubectl连接网格控制面获取kubeconofig的证书内容。 登录云容器引擎控制面,单击选择任意集群,进入详情页。 建议选择网格对应的
收集数据面日志 费用说明 LTS创建日志组免费,并每月赠送每个账号一定量免费日志采集额度,超过免费额度部分将产生费用。 集群数据面组件说明 当前支持收集以下两种类型的控制面日志,每个日志流对应一个Kubernetes控制层面组件。关于这些组件的更多信息,请参见Kubernetes组件
表1 UCS系统权限 系统角色/策略名称 描述 类别 UCS FullAccess UCS服务管理员权限,拥有该权限的用户拥有服务的所有权限(包含制定权限策略、安全策略等)。
智能流量分发调度 通过统一的容器网络编排和服务发现能力,实现跨云跨集群扁平化互通能力,达到业务体验一致和通讯安全可靠的目标。
安全性:MCI支持TLS安全策略和证书管理,保障应用程序的安全性。 MCI的工作原理 MCI的功能主要通过请求转发执行器MCI Controller实现。
修改安全组 修改本端集群节点的安全组,在入方向规则中允许对端集群节点访问本端集群容器端口。 如图6所示,“协议端口”填写本端集群容器端口,“源地址”填写对端集群节点IP地址或网段。修改安全组的具体操作请参见更改集群节点的默认安全组。
数据安全要求高:对于对数据安全性要求较高的业务,包年/包月计费模式可确保资源的持续使用,降低因资源欠费而导致的数据安全风险。 适用计费项 以下计费项支持包年/包月。
漏洞修复方案 请在VPC内做好安全组加固,确保仅暴露接口给受信用户。 参考链接 HTTP/2协议拒绝服务漏洞 附:为何影响? HTTP/2 允许在单个连接上同时发送多个请求,每个 HTTP 请求或响应使用不同的流。
数据迁移 本节介绍镜像及集群依赖服务的相关数据迁移,如云存储、云数据库、分布式缓存、分布式消息等。 镜像迁移 镜像的跨区域迁移可以使用容器镜像服务 SWR的“镜像同步”功能。 对于镜像仓库中已有的镜像,您需要执行手动镜像同步,将镜像同步到目标区域。另外,为镜像设置镜像自动同步功能,
数据规划 防火墙规划 防火墙的规划需符合表1中要求。 表1 防火墙规划 源设备 源IP 源端口 目的设备 目的IP 目的端口(侦听) 协议 端口说明 侦听端口是否可更改 认证方式 加密方式 ucsctl执行机 源设备所在节点IP ALL 所有节点 目的设备所在节点IP 22 TCP
export CREDENTIAL_CACHE=false 认证用的ak和sk硬编码到代码中或者明文存储都有很大的安全风险,建议在配置文件或者环境变量中密文存放,使用时解密,确保安全。
安全性高:开发者使用GitOps无需任何Kubernetes集群权限,仅需要Git仓库权限,保证集群安全可靠。 可靠性强:提供原生Kubernetes资源、Helm Chart资源、Kustomize等资源交付清单的版本管理,方便用户进行部署应用、增量变化和应用配置的回滚。
图1 有安全风险的工作负载配置示例 工作负载的容器镜像中默认WORKDIR或启动命令包含 /proc/self/fd/<num>。
{cluster_name}-node,将该安全组放通22端口,以保证可以访问。
解决方案:修改CCE控制面入方向安全组,允许120.46.145.12(源地址)访问CCE集群的5443端口。
管理员在为IAM用户授权时,应该遵循权限最小化的安全实践原则,表1列举了UCS各功能管理员、操作、只读权限所需要的最小权限。
表1 资源的名称和数量 控制台 资源类型 数量 名称 EC2面板 EC2 控制节点:3 工作节点:n 控制节点:${clusterName}-cp-${random5} 工作节点:${clusterName}-md-${i}-${random5},其中${i}默认为0 安全组 5
perl (/usr/bin/perl) 操作系统中不允许安装显示安全策略的工具 防止系统的安全信息泄露。依照业务需求,预安装的安全加固工具,限制其文件的所有者为root,并且仅root具有执行权限。