检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
漏洞影响 攻击者利用runc的systemd cgroup特性进行攻击,可通过在Pod注解中注入恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload),进而在宿主机中执行任意操作。 CCE集群未使用runc的systemd cgroup特性,因此不受此漏洞影响。
Pod所在节点与需挂载的SFS Turbo文件系统间的网络不通。 检查PV中共享地址是否正确。 获取PV的YAML,查看spec.csi.volumeAttributes下的everest.io/share-export-location字段值即为共享地址,正确的共享地址是指定的SFS Turbo文件系统的共享路径。
用这一点导致拒绝服务(系统崩溃)或执行任意代码,在容器场景下拥有CAP_SYS_ADMIN权限的用户可导致容器逃逸到宿主机。目前已存在poc,但尚未发现已公开的利用代码。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 资源管理错误 CVE-2022-0185 高
千万并发连接,满足用户的海量业务访问需求。 功能对比 比较项 Nginx Ingress ELB Ingress 产品定位 七层流量治理,提供丰富的高级路由功能。 七层流量治理,提供丰富的高级路由功能。与云原生深度集成,提供高可用、高性能、超安全、多协议的全托管免运维负载均衡服务。
StorageClass更新适配 由于集群的存储基础设施不同,迁移后的集群将无法正常挂载存储卷,您可执行以下方法的任意一种来完成存储卷的更新适配。 两种StorageClass的适配方法均需在目标集群中于恢复应用前完成,否则可能出现PV数据资源无法恢复的情况,此时在完成StorageCl
) 默认取值: 不涉及 X-Auth-Token 是 String 参数解释: 调用接口的认证方式分为Token和AK/SK两种,如果您使用的Token方式,此参数为必填,请填写Token的值,获取方式请参见获取token。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及
) 默认取值: 不涉及 X-Auth-Token 是 String 参数解释: 调用接口的认证方式分为Token和AK/SK两种,如果您使用的Token方式,此参数为必填,请填写Token的值,获取方式请参见获取token。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及
inuse:正在使用(侦听)的TCP套接字数量。 orphan:已分配(已建立、已申请到sk_buff)的TCP套接字数量。 tw:等待关闭的TCP连接数。 UDP使用情况 个 UDP使用情况 liteInuse:正在使用的UDP-Lite套接字数量。 inuse:正在使用的UDP套接字数量。
根据PDB规则保障关键业务的可用性。 节点的系统盘和数据盘将会被清空,重置前请事先备份重要数据。 节点重置会清除用户单独添加的K8S标签和K8S污点,可能导致与节点有绑定关系的资源(本地存储,指定调度节点的负载等)无法正常使用。请谨慎操作,避免对运行中的业务造成影响。 升级操作完成后,节点将会自动开机。
诊断结束后,页面将自动刷新并展示诊断结果,其中无风险项将自动隐藏。 健康诊断将针对不同维度的巡检项,归纳Kubernetes中常见的问题,并提供相应的修复建议。用户可以单击“诊断详情”查看具体诊断项的详细信息以及存在异常的资源。在部分场景下,页面还提供相应的排查文档,供用户参考排查。 图3 诊断结果 父主题: 健康中心
致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel.core_pattern内核参数,在集群中的任何节点上以root身份实现容器逃逸和执行任意代码。 该问题已被收录为CVE-2022-0811。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别
客户端的 API 服务器凭据转发给第三方。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 SSRF CVE-2022-3172 中 2022-09-09 漏洞影响 CCE受影响的版本: kube-apiserver <= v1.23.10 符合上述范围的CCE集群,且配置了聚合API
) 默认取值: 不涉及 X-Auth-Token 是 String 参数解释: 调用接口的认证方式分为Token和AK/SK两种,如果您使用的Token方式,此参数为必填,请填写Token的值,获取方式请参见获取token。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及
节点预留资源策略说明 节点的部分资源需要运行一些必要的Kubernetes系统组件和Kubernetes系统资源,使该节点可作为您的集群的一部分。 因此,您的节点资源总量与节点在Kubernetes中的可分配资源之间会存在差异。节点的规格越大,在节点上部署的容器可能会越多,所以Kubernetes自身需预留更多的资源。
请登录CCE控制台,并单击集群名称进入集群总览页。 在集群总览页中找到“连接信息”版块。单击kubectl后的“配置”按钮,查看kubectl的连接信息。 在弹出页面中选择“内网访问”,然后下载对应的配置文件。 登录已安装kubectl客户端的虚拟机,将上一步中下载的配置文件(以kubeconfig.yaml为例)复制到/home目录下。
CCE会基于当前节点池的资源标签配置,对存量节点进行更新。如果用户已在ECS侧设置了与当前节点池的资源标签配置中同key值的资源标签,则该标签的value值将被刷新成节点池中的配置保持一致。 存量节点的资源标签同步需要一定的处理时间(通常为10分钟以内,与节点池的节点规模相关)。 请
Linux内核权限提升漏洞公告(CVE-2024-1086) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 本地提权 CVE-2024-1086 严重 2024-01-31 漏洞影响 Linux系统内核在3.15-6.8中的netfilter: nf_tables组件存在释放后
apiVersion 否 String API版本 metadata 否 metadata object 分区的元数据信息 spec 否 spec object 分区的配置信息 表3 metadata 参数 是否必选 参数类型 描述 name 否 String 分区名称 表4 spec
objects 集群分区信息 表3 Partition 参数 参数类型 描述 kind String 资源类型 apiVersion String API版本 metadata metadata object 分区的元数据信息 spec spec object 分区的配置信息 表4 metadata
apiVersion 否 String API版本 metadata 否 metadata object 分区的元数据信息 spec 否 spec object 分区的配置信息 表3 metadata 参数 是否必选 参数类型 描述 name 否 String 分区名称 表4 spec
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
