检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
将USER指令添加到Dockerfiles中,并以非root用户运行 通过在容器构建和部署过程中设置正确的用户和权限,可以显著提高容器的安全性。这不仅有助于防止潜在的恶意活动,也是遵循最小权限原则的体现。 在Dockerfile中设置USER指令,可以确保所有随后的命令都以非root用户身份执行,这是标准的安全实践。
在转包年包月页面中,选择需要转包年/包月的集群,您也可以同时选择需要转包年/包月的节点。 图1 按需集群转包年/包月 单击“确定”,等待生成订单并完成支付即可。 父主题: 计费类
披露/发现时间 流量劫持 CVE-2020-8554 中 2020-12-07 漏洞影响 对于单集群内多个用户共享使用的场景,如果将Pod和Service的创建和更新权限授予不信任的用户易受此漏洞的影响。 涉及所有Kubernetes版本。 漏洞修复方案 建议您检查所有使用extern
大部分容器均会产生影响。其中主要影响的是多用户共享节点的场景,可导致某用户通过渗透进而控制节点并攻击整集群。 华为云CCE容器服务: CCE容器服务创建的Kubernetes集群属于单租户专属,不存在跨租户共享,影响范围较小,对于多用户场景需要关注。 当前CCE采用华为优化的Do
Set中Pod的序号是从0开始,该特性引入后允许用户自定义Pod的起始序号。详细使用方式请参考起始序号。 弹性索引Job(GA) 在Kubernetes 1.31中,ElasticIndexedJob特性进阶至GA。该特性允许用户在索引Job创建后修改其.spec.completions和
VolumeClaims(PVCs)的生命周期。这种新的PVC保留策略允许用户指定当删除StatefulSet或者缩减StatefulSet中的副本时,是自动删除还是保留从StatefulSet规约模板生成的PVC。详情请参见PersistentVolumeClaim保留。 磁盘卷组快照
竞价实例不支持重置、纳管、移除、迁移、转包周期、集群重置升级。如果要对集群进行重置升级,需要先删除竞价节点,将竞价节点池实例数设为0。 ECS可能会因为用户报价小于市场价、资源不足等原因主动释放竞价实例。建议在集群中安装最新版本的npd插件,npd插件会在竞价实例被ECS释放前5分钟收到通知,
通过特权容器功能优化内核参数 前提条件 从客户端机器访问Kubernetes集群,需要使用Kubernetes命令行工具kubectl,请先连接kubectl。详情请参见通过kubectl连接集群。 操作步骤 通过后台创建daemonSet,选择nginx镜像、开启特权容器、配置生命周期、添加hostNetwork:
17.9。 如果没有使用主机网络并且容器内进程不以root用户(UID为0)运行,则不涉及该漏洞。 漏洞修复方案 建议使用最小权限运行容器,对于不信任的容器进行如下限制: 禁止使用主机网络; 禁止容器内的进程以root用户运行。 相关链接 containerd-shim API exposed
7-r0、1.23.5-r0、1.25.1-r0之前的集群版本支持用户配置容器网卡高低水位预热,如果用户配置了全局的容器网卡高低水位预热。集群升级后,原始的高低水位预热参数配置会自动转换为容器网卡动态预热参数配置;但如果用户要通过console页面进一步修改容器网卡动态预热参数,需要先
至容器中,利用runc的符号链接以及条件竞争漏洞,最终可能会导致容器逃逸,使攻击者能够访问宿主机的文件系统。 您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。
11-r1 v.1.17.9-r0 只需对已有节点进行修复,新建节点默认无此问题。 升级过程需要重启auditd组件。 检查方法 以root用户登录node节点。 执行以下命令检查当前节点是否存在该问题: auditctl -l | grep "/var/lib/docker -p
依赖底层云产品配额限制 限制大类 限制项 普通用户限制 计算 实例数 1000 核心数 8000核 RAM容量 (MB) 16384000 网络 一个用户创建虚拟私有云的数量 5 一个用户创建子网的数量 100 一个用户拥有的安全组数量 100 一个用户拥有的安全组规则数量 5000 一个路由表里拥有的路由数量
长度为8-26位。 密码至少必须包含大写字母、小写字母、数字和特殊字符(!@$%^-_=+[{}]:,./?)中的三种。 密码不能包含用户名或用户名的逆序。 默认取值: 不涉及 表9 Volume 参数 参数类型 描述 size Integer 参数解释: 磁盘大小,单位为GiB。
长度为8-26位。 密码至少必须包含大写字母、小写字母、数字和特殊字符(!@$%^-_=+[{}]:,./?)中的三种。 密码不能包含用户名或用户名的逆序。 默认取值: 不涉及 表9 Volume 参数 参数类型 描述 size Integer 参数解释: 磁盘大小,单位为GiB。
登录CCE控制台,单击集群名称进入集群。 在左侧选择节点管理,在节点的操作列选择“更多 > 转包年包月”。 图1 按需节点转包年/包月 单击“确定”,等待生成订单并完成支付即可。 父主题: 计费类
支持初始化时配置,不支持后续修改 - 模板实例命名空间 模板名称 参数名 取值范围 默认值 是否允许修改 作用范围 chart_name 当前用户的模板 无 支持初始化时配置,不支持后续修改 - 模板实例使用的模板 模板版本 参数名 取值范围 默认值 是否允许修改 作用范围 chart_version
删除该密钥,此时模板实例即删除成功: 注:若用户通过前端console操作,在获取实例、更新实例等操作中CCE会自动尝试转换原v2模板实例到v3模板实例。在密钥中存储release信息,原配置项中release信息不会删除。建议用户在配置项和密钥中均查询并删除该实例。 父主题:
在同一个命名空间内访问指定容器的FQDN是什么? 问题背景 客户询问在创建负载时指定部署的容器名称、pod名称、namespace名称,在同一个命名空间内访问该容器的FQDN是什么? 全限定域名:FQDN,即Fully Qualified Domain Name,同时带有主机名和域名的名称。(通过符号“
长度为8-26位。 密码至少必须包含大写字母、小写字母、数字和特殊字符(!@$%^-_=+[{}]:,./?)中的三种。 密码不能包含用户名或用户名的逆序。 默认取值: 不涉及 表11 Volume 参数 参数类型 描述 size Integer 参数解释: 磁盘大小,单位为GiB。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
