检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
4-6387) OpenSSH是一个基于SSH协议的安全网络通信工具,通过加密所有流量以消除窃听、连接劫持和其他攻击。此外,OpenSSH 还提供大量安全隧道功能、多种身份验证方法和复杂的配置选项,是远程服务器管理和安全数据通信的必备工具。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID
myhuaweicloud.com/container/nginx:v1 使用相同的方法制作v2版本镜像并上传至镜像仓库。 部署一个Rollout,本文中的示例会先将20%的流量发送到新版本实例上,然后手动继续更新,最后在升级的剩余时间内逐渐自动增大流量。 创建一个rollout-canary.yaml文件,示例如下:
检查项内容 检查HTTPS类型负载均衡所使用的证书,是否在ELB服务侧被修改。 解决方案 该问题的出现,一般是由于用户在CCE中创建HTTPS类型Ingress后,直接在ELB证书管理功能中修改了Ingress引用的证书,导致CCE集群中存储的证书内容与ELB侧不一致,进而导致升级后ELB侧证书被覆盖。
3中存在堆缓冲区溢出漏洞,该漏洞存在于Fluent Bit的嵌入式http服务器对跟踪请求的解析中,由于在解析/api/v1/traces 端点的传入请求时,在解析之前未正确验证input_name的数据类型,可通过在请求的“inputs”数组中传递非字符串值(如整数值),可能导致
卷,于是跳过删底层卷的流程,直接开始删除PV,这样PVC和PV被成功删除,但是底层卷残留。关于此问题的逻辑代码请参见controller。 解决方案 对于已残留的底层存储,请通过手动删除的方式进行清理。 对于未删除的动态创建PVC,请直接删除PVC,其绑定的PV和底层存储会被自动删除,无需手动删除。
进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下: 权限:允许或拒绝某项操作。 对应API接口:自定义策略实际调用的API接口。 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。 依赖的授权项:部
集群升级至漏洞修复版本后,新启动的容器不存在漏洞风险,对于已运行的容器需要进一步排查,详情请参见判断方法。 已运行的容器中,如果启动容器进程时设置WORKDIR为/proc/self/fd/<num>,仍存在风险,需要删除该配置后重新部署容器。 已运行的容器中,使用的镜像中WORKDIR设
优先选择优先级最高的节点池。 规格优先级选择: 如果存在多个节点池优先级最高的情况,则根据以下原则挑选优先级最高的规格: 首先,选择节点池中优先级最高的规格。 其次,如果存在规格优先级相同的情况,根据最小浪费原则,选择既能满足Pod正常调度、浪费资源又最少的规格。 最后,如果存
更改集群节点的默认安全组 操作场景 集群在创建时可指定自定义节点安全组,方便统一管理节点的网络安全策略。对于已创建的集群,支持修改集群默认的节点安全组。 约束与限制 一个安全组关联的实例数量建议不超过1000个,否则可能引起安全组性能下降。更多关于安全组的限制请参考安全组限制。
io/elb.id,则以id为准;若只填写了此字段,elb.id会由系统自动填充 配置建议: 建议配置正确的elb的IP信息 ELB企业项目ID 路由对接的负载均衡实例所属的企业项目ID 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes
io/elb.id,则以id为准;若只填写了此字段,elb.id会由系统自动填充 配置建议: 建议配置正确的elb的IP信息 ELB企业项目ID 服务对接的负载均衡实例所属的企业项目ID 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes
从Pod访问公网 从Pod访问公网的实现方式 从Pod中访问公网地址的实现方式会因集群网络模式的不同而不同,具体请参见表1。 表1 从Pod访问公网的实现方式 实现方式 容器隧道网络 VPC网络 云原生2.0网络 给容器所在节点绑定公网IP 支持 支持 不支持 给Pod绑定弹性公网IP
按节点维度划分地址段,集群的所有节点从容器网段中分配一个或多个固定大小(默认16)的IP网段。 当节点上的IP地址使用完后,可再次申请分配一个新的IP网段。 容器网段依次循环分配IP网段给新增节点或存量节点。 调度到节点上的Pod依次循环从分配给节点的一个或多个IP网段内分配IP地址。
ss(或其他集群的Service),因为kube-proxy会在ipvs-0的网桥上挂载LB类型的Service地址,ELB的流量会被ipvs-0网桥劫持。建议Ingress和Service(或不同集群的Service)使用不同ELB实例。 不推荐使用EulerOS 2.5、CentOS
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
CCE集群创建时的根证书如何更新? CCE集群根证书是Kubernetes认证的基础证书,华为云上的Kubernetes集群管理面托管在CCE管理平台上,证书也在CCE的管理平台上,不对用户开放,这个证书在平台上会定期维护,不会出现过期的情况。 X509证书在Kubernetes
问题根因 出现以上问题的原因是宿主机上有其他进程正在使用该设备。 解决方法 您需要登录到Pod所在宿主机上查找正在使用该设备的进程,并终止对应的进程。 登录Pod所在节点。 执行以下命令,找到对应挂载路径下的云存储设备,其中<mount-path>为错误信息中显示的挂载路径。 mount
Kubernetes 1.9的集群版本升级公告 发布时间:2020/12/07 根据CCE发布的Kubernetes版本策略中的版本策略,CCE将在近期停止Kubernetes 1.9的集群版本的维护,为了能够更好地方便您使用云容器引擎服务,确保您使用稳定又可靠的Kubernetes版本,如果您仍在使用1
群中需安装2.4.16及以上版本的Everest插件。 问题原因 cce_cluster_agency委托是CCE的系统委托,其中包含CCE组件需要的云服务资源操作权限,但不包含支付权限,详情请参见系统委托说明。在创建包周期的云硬盘存储卷时,要求包含支付权限,因此需要为cce_c
CCE对Kubernetes 1.29版本的增强 在版本维护周期中,CCE会对Kubernetes 1.29版本进行定期的更新,并提供功能增强。 关于CCE集群版本的更新说明,请参见补丁版本发布说明。 参考链接 关于Kubernetes 1.29与其他版本的性能对比和功能演进的更多信息,请参考:Kubernetes
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
