检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
国外安全研究团队披露在polkit的pkexec程序中存在一处权限提升漏洞(CVE-2021-4034,亦称PwnKit),攻击者通过在其默认配置中利用此漏洞实现用任何非特权用户获取易受攻击主机的完全root权限,目前漏洞POC/EXP已公开,风险较高。 Polkit(PolicyKit)是一个用于在类Unix操作
de字段设置为KMS,则支持填写该字段。若字段为空,则默认使用KMS默认密钥进行填充,默认密钥不存在时云服务将自动为用户创建cce/default默认密钥。 用户需使用真实存在的KMS密钥,并且在集群生命周期结束前,禁止删除、禁用密钥等操作,防止集群功能异常(集群设置该密钥后不允许修改)。
配置集群日志 功能介绍 用户可以选择集群管理节点上哪些组件的日志上报LTS 调用方法 请参见如何调用API。 URI PUT /api/v3/projects/{project_id}/cluster/{cluster_id}/log-configs 表1 路径参数 参数 是否必选
隔离与限制。Namespace提供了一种内核级别的环境隔离功能,它能够限制进程的视图,使其只能访问特定的资源集合,如文件系统、网络、进程和用户等。而Cgroup作为Linux内核的资源管理机制,能够限制进程对CPU、内存、磁盘和网络等资源的使用,防止单一进程过度占用资源,影响系统的整体性能。
1-r0至v1.27.5-r0、v1.28.1-r0至v1.28.3-r0版本的集群不支持创建Docker容器引擎的节点。考虑到当前仍然有部分用户使用Docker,CCE将继续支持创建Docker节点。后续如果下线Docker容器引擎将另行通知。 建议您在新建节点时选择更加轻量、安全
Controller 应用现状 Nginx Ingress Controller是一款业界流行的开源Ingress控制器,有着广泛的应用。在大规模集群场景下,用户有在集群中部署多套Nginx Ingress Controller的诉求,不同流量使用不同的控制器,将流量区分开。例如,集群中部分服务需要
有权限)的用户(例如,默认拥有该权限的admin用户组),才能在CCE控制台的命名空间权限页面进行授权操作,并查看当前用户组及其所拥有的权限。 步骤一:创建用户与用户组 子账号A为研发与测试团队和运维团队分别创建用户和用户组,方便用户和资源的管理。本示例中仅创建3个用户,分别代表
如果某IAM用户拥有一定范围的集群管理权限和命名空间权限,然后在界面下载kubeconfig认证文件。此时CCE根据用户信息的权限判断kubectl有权限访问哪些Kubernetes资源,即哪个用户获取的kubeconfig文件,kubeconfig中就拥有哪个用户的认证信息,任
Ingress控制器插件升级后无法使用TLS v1.0和v1.1 问题现象 NGINX Ingress控制器插件升级至2.3.3及以上版本后,如果客户端TLS版本低于v1.2,会导致客户端与NGINX Ingress协商时报错。 解决方法 2.3.3及以上版本的NGINX Ingress默认仅支持TLS v1
面向云原生2.0的新一代容器集群产品,计算、网络、调度全面加速。 无用户节点的Serverless版集群,无需对节点的部署、管理和安全性进行维护,并根据CPU和内存资源用量按需付费。 使用场景 - 面向有云原生数字化转型诉求的用户,期望通过容器集群管理应用,获得灵活弹性的算力资源,简化对计算、网络、存储的资源管理复杂度。
保存修改内容。 重启容器。 docker restart gitlab 使用浏览器访问“ECS EIP:80”,登录Gitlab服务, 默认用户名为root,初始登录密码存放在gitlab容器的/etc/gitlab/initial_root_password路径下。 您可以通过以下命令获取:
CCE集群新增节点时的问题与排查方法? 注意事项 同一集群下的节点镜像保证一致,后续新建/添加/纳管节点时需注意。 新建节点时,数据盘如需分配用户空间,分配目录注意不要设置关键目录,例如:如需放到home下,建议设置为/home/test,不要直接写到/home/下。 请注意“挂载路
问题场景 集群版本:v1.15.6-r1版本 集群类型:CCE集群 网络模式:容器隧道网络模式 节点操作系统:CentOS 7.6 上述集群的用户配置使用networkpolicy后,由于节点上canal-agent网络组件与CentOS 7.6内核存在不兼容,概率性导致CentOS
labels["virtual-kubelet.io/burst-to-cci"] auto/localPrefer/enforce/off off 允许 - auto:根据用户集群内调度器实际打分结果自动决定是否弹性至CCI,其中在TaintToleration算法上会优先选择调度到CCE节点。 localPre
集群与虚拟私有云、子网的关系是怎样的? “虚拟私有云”类似家庭生活中路由器管理192.168.0.0/16的私有局域网,是为用户在云上构建的一个私有网络,是弹性云服务器、负载均衡、中间件等工作的基本网络环境。根据实际业务需要可以设置不同规模的网络,一般可为10.0.0.0/8~24,172
Kubernetes subpath符号链接交换安全漏洞(CVE-2021- 25741) 漏洞详情 社区在 Kubernetes 中发现了一个安全问题,用户可以创建一个带有subPath volume挂载的容器,访问卷外的文件和目录,包括主机文件系统上的文件和目录。 容器使用subPath去挂
匿名请求的用户名为 system:anonymous, 用户组名为 system:unauthenticated 配置建议: 如涉及使用匿名(不携带身份凭证)访问的场景(如使用kubeadm过程中涉及部分查询操作),可以按需开启匿名访问 开启匿名访问的场景下请对匿名请求的用户名和分组
该漏洞为Linux内核权限校验漏洞,根因为没有针对性的检查设置release_agent文件的进程是否具有正确的权限。在受影响的OS节点上,工作负载使用了root用户运行进程(或者具有CAP_SYS_ADMIN权限),并且未配置seccomp时将受到漏洞影响。 CCE集群受该漏洞影响的范围如下: x86场景EulerOS
集群安装nginx-ingress插件失败,一直处于创建中? 问题背景 客户已经购买并搭建了CCE集群,希望在公网上可以访问到CCE上部署的应用服务,目前最高效的方式是在ingress资源上注册该应用的Service路径,从而满足要求。 但客户安装ingress插件后,插件状态一直显示“创建中”,
跟踪和问题定位等常见应用场景。 用户开通云审计服务后,系统将开始记录CCE资源的操作,并为您保存最近7天的操作记录。CTS支持记录的CCE操作请参见云审计服务支持CCE操作列表。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CCE用户查看云审计日志方法,请参见云审计日志。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
