检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
0到1.9.5p1的所有稳定版本。成功利用此漏洞,任何没有特权的用户都可以在易受攻击的主机上获得root特权。 sudo是一个功能强大的实用程序,大多数基于Unix和Linux的操作系统都包含sudo。它允许用户使用其他用户的安全特权运行程序。 表1 漏洞信息 漏洞类型 CVE-ID
身份映射规则是将工作负载的ServiceAccount和IAM用户做映射。 例如在集群default命名空间下创建一个名为oidc-token的ServiceAccount,映射到demo用户组(后续使用身份提供商ID访问云服务就具有demo用户组的权限)。此处属性必须是sub,值的格式为:s
集群与虚拟私有云、子网的关系是怎样的? “虚拟私有云”类似家庭生活中路由器管理192.168.0.0/16的私有局域网,是为用户在云上构建的一个私有网络,是弹性云服务器、负载均衡、中间件等工作的基本网络环境。根据实际业务需要可以设置不同规模的网络,一般可为10.0.0.0/8~24,172
集群为什么被冻结 资源冻结的类型包括欠费冻结、违规冻结、公安冻结。 单击了解资源冻结的类型、冻结后对续费、退订的影响。 集群如何解冻 欠费冻结:用户可通过续费或充值来解冻资源,恢复集群正常使用。欠费冻结的集群允许续费、释放或删除;已经到期的包年/包月集群不能发起退订,未到期的包年/包月集群可以退订。
Kubernetes subpath符号链接交换安全漏洞(CVE-2021- 25741) 漏洞详情 社区在 Kubernetes 中发现了一个安全问题,用户可以创建一个带有subPath volume挂载的容器,访问卷外的文件和目录,包括主机文件系统上的文件和目录。 容器使用subPath去挂
于很多情况下容器虽然启动成功,但应用就绪也需要一定的时间,需要等就绪时间之后才能返回成功,否则就会导致probe经常失败。 另外failureThreshold可以设置多次循环探测,这样在实际应用中健康检查的程序就不需要多次循环,这一点在开发应用时需要注意。 配置有效的Liveness
名称的复数形式,对Kube-apiserver请求时,参考URL:/apis/<组>/<版本>/<名称的复数形式>。例如,/apis/monitoring.coreos.com/v1/servicemonitors。 配置建议: 创建新的 自定义资源时,Kubernetes API 服务器会为您所指定的每个版本生成一个新的
该漏洞为Linux内核权限校验漏洞,根因为没有针对性的检查设置release_agent文件的进程是否具有正确的权限。在受影响的OS节点上,工作负载使用了root用户运行进程(或者具有CAP_SYS_ADMIN权限),并且未配置seccomp时将受到漏洞影响。 CCE集群受该漏洞影响的范围如下: x86场景EulerOS
CCE集群根证书是Kubernetes认证的基础证书,华为云上的Kubernetes集群管理面托管在CCE管理平台上,证书也在CCE的管理平台上,不对用户开放,这个证书在平台上会定期维护,不会出现过期的情况。 X509证书在Kubernetes集群上也是默认开启的,更新平台自动会维护更新。 获取集群证书
kubelet启动参数中默认将CPU Manager的策略设置为static,允许为节点上具有某些资源特征的pod赋予增强的CPU亲和性和独占性。用户如果直接在ECS控制台对CCE节点变更规格,会由于变更前后CPU信息不匹配,导致节点上的负载无法重新拉起,也无法创建新负载。 更多信息请参
发布时间:2024/02/19 Kubernetes社区已在v1.24版本移除dockershim,默认不再支持Docker运行时。考虑到当前仍然有部分用户使用Docker,CCE将继续支持创建Docker节点。 建议您在新建节点时选择更加轻量、安全的Containerd运行时,同时将存量节点
、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务后,系统将开始记录CCE资源的操作,并为您保存最近7天的操作记录。CTS支持记录的CCE操作请参见云审计服务支持CCE操作列表。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CCE用户查看云审计日志方法,请参见云审计日志。
Bit内存崩溃漏洞公告(CVE-2024-4323) Fluent Bit是一个功能强大、灵活且易于使用的日志处理和转发工具,适用于各种规模和类型的应用和系统(如Linux、Windows、嵌入式Linux、MacOS等)。Fluent Bit 是众多云提供商和企业使用的流行日志记录实用程
oxy。 传输文件总量很大的话,会消耗很多资源,目前proxy分配内存128M,在压测场景下,损耗非常大,最终导致请求失败。 目前压测所有流量都经过Proxy,业务量大就要加大分配资源。 解决方法 传文件涉及大量报文复制,会占用内存,建议把Proxy内存根据实际场景调高后再进行访问和上传。
完成集群外资源迁移后,可通过迁移工具在原集群和目标集群内分别进行应用配置的备份和还原,工具的安装步骤请参考迁移工具安装。 集群内资源迁移。 使用Velero将原集群内资源备份至对象存储中,并在目标集群中进行恢复,详细步骤可参考集群内资源迁移(Velero)。 原集群应用备份 当用户执行备份时,首先通过Velero
OpenSSH远程代码执行漏洞公告(CVE-2024-6387) OpenSSH是一个基于SSH协议的安全网络通信工具,通过加密所有流量以消除窃听、连接劫持和其他攻击。此外,OpenSSH 还提供大量安全隧道功能、多种身份验证方法和复杂的配置选项,是远程服务器管理和安全数据通信的必备工具。
您使用的账号未被授予当前操作所需的集群RBAC权限。 解决方案 使用华为云账号或者具有管理员权限的账号登录IAM管理控制台,在左侧导航栏中选择“用户”。 在IAM用户页签查找出现报错的用户名,单击用户名右侧的“授权”。 选择相应的权限后,单击“确定”,提交授权。 当前账号未被授予该操作所需的IAM权限 问题现象
大部分容器均会产生影响。其中主要影响的是多用户共享节点的场景,可导致某用户通过渗透进而控制节点并攻击整集群。 华为云CCE容器服务: CCE容器服务创建的Kubernetes集群属于单租户专属,不存在跨租户共享,影响范围较小,对于多用户场景需要关注。 当前CCE采用华为优化的Do
满时,概率性出现以下异常: 在容器内创建文件或目录失败、容器内文件系统只读、节点被标记disk-pressure污点及节点不可用状态等。 用户可手动在节点上执行docker info查看当前thinpool空间使用及剩余量信息,从而定位该问题。如下图: 问题原理 docker d
ConfigMap ConfigMap是一种用于存储应用所需配置信息的资源类型,用于保存配置数据的键值对,可以用来保存单个属性,也可以用来保存配置文件。 通过ConfigMap可以方便地做到配置解耦,使得不同环境有不同的配置。 创建ConfigMap 下面示例创建了一个名为con
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
