检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在完成漏洞修复前,避免在集群中运行不可信的容器镜像。 CCE已发布新版本插件修复该漏洞,请关注CCE AI套件(NVIDIA GPU)版本发布记录。 相关链接 https://docs.nvidia.com/datacenter/cloud-native/container-toolkit/latest/install-guide
本说明。 在发布修复的OS镜像后,新建集群、节点默认修复该漏洞,存量节点可通过重置节点修复。若集群版本已经EOS,需先升级集群版本。 相关链接 https://nsfocusglobal.com/linux-kernel-privilege-escalation-vulnerab
tes社区文档。 限制容器内进程权限,最小化容器内的进程权限,如使用非root启动进程、通过capability机制细化进程权限等。 相关链接 内核修复commit:https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux
nginx/controller-chroot) 中引入的“chrooted” ingress-nginx 控制器,则不会受到影响。 相关链接 CVE-2021-25748社区漏洞issue:https://github.com/kubernetes/ingress-nginx/issues/8686
ec是Plokit框架中的一部分,执行具有提升权限的命令,是sudo的替代方案。请使用Polkit的用户及时安排自检并做好安全加固。 参考链接:https://www.qualys.com/2022/01/25/cve-2021-4034/pwnkit.txt 表1 漏洞信息 漏洞类型
版本。 漏洞修复方案 容器 entrypoint 使用 capsh工具去除自身的 Inheritable Capabilities。 相关链接 社区公告:https://github.com/containerd/containerd/security/advisories/GHSA-c9cp-9c75-9v8c
由于gitRepo存储卷已被弃用,社区建议的解决方案是使用initContainers容器执行Git克隆操作,然后将目录挂载至Pod容器中,请参见社区示例。 相关链接 https://github.com/kubernetes/kubernetes/issues/128885 父主题: 漏洞公告
11.2版本修复该漏洞,但该版本仅支持 Kubernetes >= 1.26 ,因此若CCE集群版本低于v1.27,请先升级集群版本。 相关链接 社区已经发布版本修复:https://github.com/kubernetes/ingress-nginx/releases/tag/controller-v1
17正式废弃 events.k8s.io/v1beta1 Event API中series.state字段废弃,将在1.18版本中移除 参考链接 社区v1.13与v1.15版本之间的CHANGELOG v1.14到v1.15的变化: https://github.com/kuber
访问Service失败。 问题2 当net.ipv4.vs.conn_reuse_mode=1时,高并发场景下发生源端口与之前链接重复的情况,不会复用链接,而是会重新进行调度。根据ip_vs_in()的处理逻辑,当开启了net.ipv4.vs.conntrack时,这种情况会先D
17正式废弃 events.k8s.io/v1beta1 Event API中series.state字段废弃,将在1.18版本中移除 参考链接 社区v1.13与v1.15版本之间的CHANGELOG v1.14到v1.15的变化: https://github.com/kuber
oadBalancerIP提供规避措施。如果您需要对LoadBalancerIP进行限制,则可以参考externalIP的规避措施。 相关链接 https://github.com/kubernetes/kubernetes/issues/97076 父主题: 漏洞公告
检查系统关键资源PID进程资源是否充足 指标类 云原生监控插件 节点故障检测插件 problem_gauge{type="PIDProblem"} >= 1 节点链接跟踪表不足 检查节点链接跟踪表是否充足 指标类 云原生监控插件 节点故障检测插件 problem_gauge{type="ConntrackFullProblem"}
annotations'的值限制在已知的安全字符中(参考社区最新规则,或者采用annotation-value-word-blocklist中的建议值)。 相关链接 CVE-2021-25745社区漏洞issue:https://github.com/kubernetes/ingress-nginx/issues/8502
io/url-match-mode String 路由匹配策略,取值如下: REGEX:正则匹配 STARTS_WITH:前缀匹配 EQUAL_TO:精确匹配 相关链接 七层负载均衡(Ingress) 父主题: 网络指导
0及以上版本将直接上报日志到LTS,低于1.5.0版本则上报到otel-collector。 DaemonSet cop-logs 负责生成采集文件的软链接,和fluent-bit运行在同一Pod。 DaemonSet log-operator 负责生成内部的配置文件。 Deployment otel-collector
eAccount)Token的安全性,改变了Pod挂载Token的方式,Kubernetes 1.21及以上版本的集群中会默认开启。 参考链接 关于Kubernetes 1.23与其他版本的性能对比和功能演进的更多信息,请参考: Kubernetes v1.23 Release Notes
持此选项,具体请以界面为准。 默认不加密。 点选“加密”后,可在弹出的“加密设置”对话框中,选择已有的密钥,若没有可选的密钥,请单击后方的链接创建新密钥,完成创建后单击刷新按钮。 说明: 修改“系统盘加密”配置时,对新增的节点自动生效,存量节点需要手动重置节点后生效。 数据盘 如
高性能计算:主要是高带宽的需求,用于共享文件存储,比如基因测序、图片渲染等。 高性能网站、日志存储、DevOps、企业办公等。 大数据分析、静态网站托管、在线视频点播、基因测序、智能视频监控、备份归档、企业云盘(网盘)等。 混合负载,专属分布式存储可同时支持HPC、数据库、Email、OA办公、Web等多个应用混合部署
登录CCE控制台,单击集群名称进入集群,在左侧选择“配置中心”。 切换至“异构资源配置”页签,在“节点池自定义驱动”下方选择需要更新驱动的节点池及驱动,或者选择填写自定义驱动链接。 本文档中更新后的驱动为535.54.03。 单击“确认配置”。 步骤二:重启节点池下的节点 重启节点前建议排空节点中的Pod,详情请参
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
