华为云用户手册

设备接入 IoTDA-设备间消息通信使用说明:使用流程

使用流程以下流程主要以设备间一对一为例：图1 M2M使用流程创建流转规则，设置转发Topic：在控制台界面创建M2M流转规则并设置转发Topic。策略配置：在控制台界面进行策略配置。通过策略配置允许发送、接收数据的设备进行发布及订阅。设备A、B鉴权：设备发起连接鉴权（MQTT设备），鉴权参数填写请参考：设备连接鉴权。设备B订阅Topic：设备对云服务端进行主题订阅。设备B订阅的Topic为创建流转规则中设置的Topic。若订阅成功，平台返回订阅成功ACK。设备A数据上报：设备对云服务端进行主题发布。若发布成功，平台返回发布成功ACK。设备B收到数据：若转发成功，设备B将收到设备A发送的数据。

设备接入 IoTDA 设备间消息通信（M2M）
设备接入 IoTDA-设备间消息通信使用说明:操作步骤

操作步骤以下示例主要针对平台中创建流转规则配置。通过修改流转规则可以实现不同场景的应用。访问设备接入服务，单击“管理控制台”进入设备接入控制台。选择您的实例，单击实例卡片进入。在左侧导航栏“规则”中单击“数据转发”，可到数据转发界面。图2 数据转发-列表单击“创建规则”按照业务具体填写需要转发的数据参数，填写完成后单击“创建规则”。参数值可参考下图。图3 新建流转规则-M2M 表1 创建数据转发规则-参数说明参数说明规则名称自定义，如test。长度不超过256，只允许中文、字母、数字、以及_?'#().,&%@!-等字符的组合。规则描述自定义，对该规则的描述。数据来源转发规则的数据来源，下拉可选择多种数据来源。在使用M2M时，请选择“设备消息”。触发事件不同的数据来源有不同的触发事件，若使用M2M，请选择“设备消息上报”。资源空间下拉选择所属的资源空间。可以选择所有资源空间，如无对应的资源空间，请先创建资源空间。数据过滤语句使用SQL语句可以进行数据筛选，详情可见：SQL语句。图片中在WHERE中填入notify_data.body.topic IN ('/test/M2M')，代表只有Topic为“/test/M2M”的数据进行数据转发。在创建数据转发规则的第二步，可以添加转发到的目标，包括设置转发后的Topic、缓存时间等。若使用M2M，请将转发目标设置为“设备”，按照业务具体填写参数后单击“确定”。图4 新建转发目标-转发至设备表2 设置转发目标-参数说明参数说明转发目标下拉选择转发目标，在设备间消息通信中，请选择为“设备”。 Topic 自定义，长度不超过128个字符，可以以$和/开头，不可以$和/符号结尾；不允许有a-zA-Z0-9() ',-.:=@;_!*'%?+\以外的符号。如果Topic值设置为“$topic()”，则转发后的Topic和上报数据的Topic一样。 ttl 数据缓存时间。当设备不在线时，数据会进行缓存（当ttl为0时不缓存），当设备上线时再进行下发。输入值范围在0~1440（一天）分钟，且值为5的倍数。启动规则。在创建数据转发规则的第三步，单击页面中央的“启动规则”，完成规则设置。图5 启动规则-转发至设备

设备接入 IoTDA 设备间消息通信（M2M）
设备接入 IoTDA-证书管理:签发设备证书

签发设备证书使用OpenSSL工具为设备证书生成密钥对，即”设备证书（客户端证书）私钥”。 openssl genrsa -out deviceCert.key 2048 使用密钥对生成证书签名请求文件： openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1所示。表2 证书签名请求文件参数列表提示参数名称取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / 使用CA证书、CA证书私钥和上一步骤中生成的 CS R文件创建设备证书（deviceCert.crt）。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件，且需要完成”验证CA证书”流程。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整

设备接入 IoTDA 设备发放
设备接入 IoTDA-证书管理:验证CA证书

验证CA证书登录设备发放控制台。在设备发放控制台，左侧导航窗格中，选择“证书”，单击“证书列表”条目的操作栏中的“验证证书”。图3 上传CA证书完成页在上传验证证书页面，单击“生成验证码”，单击“复制图标”复制此CA证书的随机验证码。图4 复制验证码 CA证书验证码有效期为一天，请及时使用验证码生成验证证书并完成验证。验证码的生成为替换机制，即对于一个CA证书，即使此前的验证码未过期，也将被新生成的验证码替换。使用OpenSSL工具为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写此验证码。使用CA证书、CA证书私钥和上一步骤中生成的CSR文件创建验证证书（verificationCert.crt）。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 36500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件，为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数，此处示例为36500天，您可根据实际业务场景和需要进行调整。上传验证证书进行验证。图5 上传验证证书

设备接入 IoTDA 设备发放
设备接入 IoTDA-证书管理:制作CA证书

制作CA证书在浏览器中访问这里，下载并进行安装OpenSSL工具，安装完成后配置环境变量。在 D:\certificates 文件夹下，以管理员身份运行cmd命令行窗口。生成密钥对（rootCA.key）：生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”，“验证证书”以及“设备证书”时需要用到，请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件：生成证书签名请求文件时，要求填写证书唯一标识名称（Distinguished Name，DN）信息，参数说明如下表1 所示。表1 证书签名请求文件参数列表提示参数名称取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构（或公司名） Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称（CN） Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码，如您不设置密码，可以直接回车 / An optional company name []: 可选公司名称，如您不设置，可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书（rootCA.crt）： openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数，此处示例为50000天，您可根据实际业务场景和需要进行调整。

设备接入 IoTDA 设备发放
DDoS防护 AAD-快速接入DDoS原生高级防护-全力防高级版:操作流程

操作流程本章节介绍如何快速购买全力防高级版并开启防护，流程如图1所示。图1 操作流程操作步骤说明准备事项注册华为账号、开通华为云、为账户充值、授予DDoS原生高级防护权限、准备ECS服务器。步骤一：购买全力防高级版在指定区域购买全力防高级版。步骤二：购买专属EIP并绑定ECS 在指定区域购买DDoS防护专属EIP并绑定到ECS服务器。步骤三：创建防护策略为防护对象创建并配置防护策略。步骤四：添加防护对象将防护对象添加到全力防高级版实例。

DDoS防护 AAD
DDoS防护 AAD-入门实践

入门实践当您成为华为云用户，即可免费使用DDoS原生基础防护（Anti-DDoS流量清洗）服务；如果您需要获得更好的防护能力，推荐购买更高版本的DDoS防护服务。本文介绍不同版本DDoS防护服务的防护实践，帮助您更好地使用DDoS防护服务。表1 DDoS防护版本实践描述 DDoS原生基础防护（Anti-DDoS流量清洗）使用流程如何免费使用Anti-DDoS流量清洗介绍如何快速使用Anti-DDoS流量清洗服务。日常维护通过ECS访问被黑洞的服务器通过弹性云服务器远程访问被黑洞的服务器。 DDoS原生高级防护联动防护华为云“DDoS原生高级防护+ELB”联动防护为部署在华为云ECS上的网站业务配置“DDoS原生高级防护+ELB”联动防护，进一步提升ECS防御DDoS攻击能力。 DDoS高防等保合规等保合规安全解决方案为客户提供一站式的安全解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保合规要求。 DDoS调度中心联动防护 DDoS阶梯调度最佳实践购买DDoS原生防护-全力防基础版时选择开启联动防护后，通过配置DDoS阶梯调度策略，可以自动联动调度DDoS高防对DDoS原生防护-全力防基础版防护的云资源进行防护，提升防护能力。

DDoS防护 AAD
DDoS防护 AAD-快速接入DDoS原生高级防护-全力防基础版:准备事项

准备事项在使用全力防基础版之前，请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。如果您已开通华为云并进行实名认证，请忽略此步骤。请保证账户有足够的资金，防止购买全力防基础版失败。具体操作请参见账户充值。请确保已为账号赋予相关权限。具体操作请参见创建用户并授权使用CNAD。在华北-北京四区域参考购买弹性云服务器创建一台ECS服务器并绑定弹性公网IP。如果用户已有符合要求的ECS服务器，可重复使用，无需再次创建。

DDoS防护 AAD
DDoS防护 AAD-如何免费使用Anti-DDoS流量清洗:步骤三：配置Anti-DDoS防护策略

步骤三：配置Anti-DDoS防护策略单击“公网IP”页签，在目标公网IP所在行，单击“防护设置”。图4 防护设置根据实际需要修改防护设置后，单击“确定”。图5 修改防护设置表2 参数说明参数示例说明防护设置手动设置默认防护为120Mbps，手动设置支持更多其他档位。流量清洗阈值 150Mbps 建议选择与所购买带宽最接近的数值，但不超过购买带宽。 Anti-DDoS检测到IP的入流量超过该阈值时，触发流量清洗。

DDoS防护 AAD
DDoS防护 AAD-如何免费使用Anti-DDoS流量清洗:操作流程

操作流程本章节介绍如何为EIP快速配置Anti-DDoS防护，流程如图1所示。图1 操作流程操作步骤说明准备事项注册华为账号、开通华为云、授予Anti-DDoS权限、准备防护对象。步骤一：查看公网IP状态查看防护对象是否已同步到Anti-DDoS控制台并开启默认防护。步骤二：开启告警通知为防护对象设置流量清洗告警通知。步骤三：配置Anti-DDoS防护策略为防护对象配置流量清洗策略。步骤四：查看监控报表查看防护对象的防护状态、流量详情。

DDoS防护 AAD
DDoS防护 AAD-如何免费使用Anti-DDoS流量清洗:步骤二：开启告警通知

步骤二：开启告警通知单击“告警通知”页签。打开告警通知开关，设置告警参数后，单击“应用”。图3 设置告警通知表1 参数说明参数示例说明清洗流量告警阈值 1000Kbps 当清洗流量大小达到该阈值时，发送告警通知，请根据实际需要设置阈值大小。 SMN 告警通知开关将告警开关设置为，打开告警。当弹性公网IP受到DDoS攻击时用户会收到提醒消息（短信或Email）。消息通知主题 - 可以选择使用已有的主题，或单击“查看消息通知主题”创建新的主题。主题创建方法请参考创建主题。

DDoS防护 AAD
云容器实例 CCI-修复Linux内核SACK漏洞公告:漏洞详情

漏洞详情 2019年6月18日，Redhat发布安全公告，Linux内核处理器TCP SACK模块存在3个安全漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479)，这些漏洞与最大分段大小（MSS）和TCP选择性确认（SACK）功能相关，攻击者可远程发送特殊构造的攻击包造成拒绝服务攻击，导致服务器不可用或崩溃。参考链接： https://www.suse.com/support/kb/doc/?id=7023928 https://access.redhat.com/security/vulnerabilities/tcpsack https://www.debian.org/lts/security/2019/dla-1823 https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SACKPanic? https://lists.centos.org/pipermail/centos-announce/2019-June/023332.html https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md 表1 漏洞信息漏洞类型 CVE-ID 披露/发现时间华为云修复时间输入验证错误 CVE-2019-11477 2019-06-17 2019-07-11 资源管理错误 CVE-2019-11478 2019-06-17 2019-07-11 资源管理错误 CVE-2019-11479 2019-06-17 2019-07-11

云容器实例 CCI
云容器实例 CCI-修复Linux内核SACK漏洞公告:附：TCP SACK介绍

附：TCP SACK介绍 TCP是面向连接的协议。当双方希望通过TCP连接进行通信时，他们通过TCP握手交换某些信息建立连接，例如发起一个TCP请求，通过SYN发送初始序列ID、确认ID、连接使用的最大数据包段大小（MSS）、认证信息和处理选择性确认（SACK）等。整体TCP连接通过我们熟知的三次握手最终建立。 TCP通过一个数据段单元发送和接收用户数据包。 TCP数据段由TCP头、选项和用户数据组成。每个TCP段都有序列号（SEQ）和确认号（ACK）。接收方通过SEQ号和ACK号来跟踪成功接收了哪些段。ACK号下一个预期接受的段。示例：上图中用户A通过13个100字节的段发送1k字节的数据，每个段具有20字节的TCP头，总计是13个段。在接收端，用户B接收了段1,2,4,6,8-13，而段3,5和7丢失，B没有接收到。通过使用ACK号，用户B告诉A，他需要段3，用户A读取到B接收到2后没有收到3，A将重新发送全部段，尽管B已经收到了4,6和8-13段。这就导致了网络的低效使用。

云容器实例 CCI
云容器实例 CCI-CVE-2020-8557的漏洞公告:漏洞详情

漏洞详情 Kubernetes官方发布安全漏洞CVE-2020-8557，CVSS Rating: Medium (5.5) CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/CR:H/IR:H/AR:M。漏洞源于kubelet的驱逐管理器（eviction manager）中没有包含对Pod中挂载的/etc/hosts文件的临时存储占用量管理，因此在特定的攻击场景下，一个挂载了/etc/hosts的Pod可以通过对该文件的大量数据写入占满节点的存储空间，从而造成节点的拒绝访问（Denial of Service）。参考链接：https://github.com/kubernetes/kubernetes/issues/93032

云容器实例 CCI
云容器实例 CCI-委托联邦用户管理资源:操作步骤

操作步骤账号A委托账号B以联邦用户的身份管理账号A中的资源，需要完成以下步骤：创建委托（委托方操作）登录委托方（账号A） IAM 控制台创建委托，需要填写被委托方（账号B）的账号名称，并授予被委托方（账号B）云容器实例所有权限“CCI FullAccess”，拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。为委托账号授权命名空间权限（委托方操作）进入委托方（账号A）的CCI控制台，在权限管理页面为被委托方（账号B）授予命名空间下资源的权限，通过权限设置可以让不同的委托账号拥有操作指定Namespace下Kubernetes资源的权限。联邦身份认证（被委托方操作）登录被委托方（账号B），在被委托方（账号B）中进行联邦身份认证操作。在委托联邦用户管理资源之前，需对被委托方进行联邦身份认证，联邦身份认证过程主要分为两步：建立互信关系并创建身份提供商和在华为云配置身份转换规则。创建身份提供商时，会创建出默认的身份转换规则，用户需要单击“编辑规则”将默认的身份转换规则更新掉，或者将默认的身份转换规则删除，重新创建新的规则。如果默认的身份转换规则在没有删掉的情况下直接添加新规则，可能会匹配上这条默认规则，添加的新规则就会不生效。分配委托权限（被委托方操作）如果被委托方（账号B）下的子用户想要切换委托，就必须由被委托方（账号B）分配委托权限。因此，为了使得联邦用户拥有管理委托方（账号A）资源的权限，就需要被委托方（账号B）授予联邦用户所在用户组（federation_group）自定义策略“federation_agency”。“federation_group”用户组为联邦用户所在的用户组，也是配置身份转换规则时，写入规则中的联邦用户组。切换角色（被委托方操作）账号B以及分配了委托权限的联邦用户，可以切换角色至委托方账号A中，根据权限管理委托方的资源。

云容器实例 CCI
云容器实例 CCI-网络访问概述

网络访问概述负载访问可以分为如下几种场景：内网访问：访问内网资源。使用“Service”方式访问：该方式适合CCI中同一个命名空间中的负载相互访问。使用ELB（私网）访问：该方式适合云服务内部资源（云容器实例以外的资源，如ECS等）且与负载在同一个VPC内互相访问，另外在同一个VPC不同命名空间的负载也可以选择此种方式。通过内网域名或ELB的“IP:Port”为内网提供服务，支持HTTP/HTTPS和TCP/UDP协议。如果是内网且与负载不在同一个VPC内，也可以选择创建VPC对等连接，使得两个VPC之间网络互通。公网访问：即给负载绑定ELB（ELB必须与负载在同一个VPC内），通过ELB从公网访问负载。从容器访问公网：通过在NAT网关服务中配置SNAT规则，使得容器能够访问公网。图1 网络访问示意图父主题：负载网络访问

云容器实例 CCI
云容器实例 CCI-容器启动命令

容器启动命令启动容器就是启动主进程，但有些时候，启动主进程前，需要一些准备工作。比如MySQL类的数据库，可能需要一些数据库配置、初始化的工作，这些工作要在最终的MySQL服务器运行之前解决。这些操作，可以在制作镜像时通过在Dockerfile文件中设置ENTRYPOINT或CMD来完成，如下所示的Dockerfile中设置了ENTRYPOINT ["top", "-b"]命令，其将会在容器启动时执行。 FROM ubuntuENTRYPOINT ["top", "-b"] 启动命令必须为容器镜像支持的命令，否则会导致容器启动失败。在云容器实例中同样可以设置容器的启动命令，例如上面Dockerfile中的命令，只要在创建负载时配置容器的高级设置，先单击“添加”，输入“top”命令，再单击“添加”，输入参数“-b”，如下图所示。图1 启动命令由于容器引擎运行时只支持一条ENTRYPOINT命令，云容器实例中设置的启动命令会覆盖掉制作镜像时Dockerfile中设置的ENTRYPOINT和CMD命令，其规则如下表所示。镜像Entrypoint 镜像CMD 容器运行命令容器运行参数最终执行 [touch] [/root/test] 未设置未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 父主题：工作负载

云容器实例 CCI
云容器实例 CCI-为用户/用户组授权命名空间权限:配置说明

配置说明您需要拥有一个主账号，仅主账号、授予了CCIFullAccess权限的用户或拥有RBAC所有权限的用户，才可以对其他用户进行授权操作。本例将对用户和用户组授予操作不同命名空间资源的权限，在您的实际业务中，您可根据业务需求仅对用户或用户组授予不同的权限。本例仅用于给用户或用户组在未授权过的命名空间下新增权限，已授权的用户或用户组的权限可以在“权限管理”的列表“操作”栏中单击“编辑”进行修改。当给用户或用户组添加多个权限时，多个权限会同时生效（取并集）；为用户组设置的权限将作用于用户组下的全部用户。在开启RBAC鉴权场景下，同类权限取并集，不同类权限取交集。例如，IAM细粒度鉴权中给用户组添加了多个权限，此时权限取最高权限，同理CCI权限管理给用户或用户组添加了多个权限，此时权限也取最高权限，即为同类权限取并集。当用户拥有CCI CommonOperations权限时，本可以创建无状态负载，但如该用户以及用户所在用户组未在目标Namespace下被赋予对应RBAC权限，则创建无状态负载会鉴权失败，即为不同类权限取交集。

云容器实例 CCI
云容器实例 CCI-为用户/用户组授权命名空间权限:示例流程

示例流程命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离，使得它们既可以共享同一个集群的服务，也能够互不干扰。命名空间的一个重要的作用是充当一个虚拟的集群，用于多种工作用途，满足多用户的使用需求。本章节将沿用创建用户并授权使用CCI中创建的IAM用户“James”和用户组“开发人员组”进行说明，为IAM用户“James”和用户组“开发人员组”添加命名空间权限，可以参考如下操作：步骤一：为IAM用户/用户组添加命名空间权限步骤二：用户登录并验证权限

云容器实例 CCI
云容器实例 CCI-为用户/用户组授权命名空间权限:步骤一：为IAM用户/用户组添加命名空间权限

步骤一：为IAM用户/用户组添加命名空间权限本步骤以主账号给CCI CommonOperations用户（James）赋予Namespace下view权限为例，被授权的CCI CommonOperations用户在该Namespace下只有只读权限。登录云容器实例管理控制台，在左侧导航栏中选择“权限管理”，进入权限管理页面。单击“添加授权”，进入添加授权页面。图1 添加授权在添加授权页面，选择要授权使用的命名空间，此处选择“cci-namespace-demo-rbac”。图2 选择命名空间为“开发人员组”增加“admin”权限，在展开的选项中进行如下配置：用户/用户组：选择“用户组”，并在二级选项中选择“开发人员组”。权限：选择“admin”。图3 为用户组授予admin权限单击下方的“添加命名空间权限”，为用户“James”增加在另一个命名空间“cci-namespace-demo-rbac01”的权限，在展开的选项中进行如下配置：命名空间：选择“cci-namespace-demo-rbac01”。用户/用户组：选择“用户”，并在二级选项中选择“James”。权限：选择“view”。图4 添加命名空间权限单击“创建”，完成以上用户和用户组在命名空间中的相应权限设置。图5 命名空间权限列表经过以上操作，授权结果如下：由于“开发人员组”包含IAM用户“James”，因此IAM用户“James”也同时获得了在命名空间“cci-namespace-demo-rbac”的“admin”权限。为IAM用户“James”增加了在命名空间“cci-namespace-demo-rbac01”的“view”权限。

云容器实例 CCI
云容器实例 CCI-监控管理:监控指标

监控指标在 AOM 控制台，可以查看容器实例的指标，指标内容请参见表1。表1 监控指标指标ID 指标名称指标含义取值范围单位 cpuUsage CPU使用率该指标用于统计测量对象的CPU使用率。服务实际使用的与限制的CPU核数量比率。 0～100% 百分比（Percent） cpuCoreLimit CPU内核总量该指标用于统计测量对象限制的CPU核总量。 ≥1 核（Core） cpuCoreUsed CPU内核占用该指标用于统计测量对象已经使用的CPU核个数。 ≥0 核（Core） memCapacity 物理内存总量该指标用于统计测量对象限制的物理内存总量。 ≥0 兆字节（Megabytes） memUsage 物理内存使用率该指标用于统计测量对象已使用内存占限制物理内存总量的百分比。 0～100% 百分比（Percent） memUsed 物理内存使用量该指标用于统计测量对象实际已经使用的物理内存（Resident Set Size）。 ≥0 兆字节（Megabytes）

云容器实例 CCI
云容器实例 CCI-为委托账号授权命名空间权限:操作步骤

操作步骤登录云容器实例管理控制台，在左侧导航栏中选择“权限管理”，进入权限管理页面。单击“添加授权”，进入添加授权页面。图1 添加授权在添加授权页面，选择要授权使用的命名空间，此处选择“rbac-test-3”。图2 选择命名空间为“委托账号”增加“admin”权限，在展开的选项中进行如下配置：用户/用户组：选择“委托账号”，并在二级选项中选择需要授权的委托账号。权限：选择“admin”。图3 为委托账号授予admin权限单击“创建”，完成委托账号在命名空间中的相应权限设置。

云容器实例 CCI
云容器实例 CCI-CVE-2020-8559的漏洞公告:漏洞详情

漏洞详情近日Kubernetes官方披露了kube-apiserver组件的安全漏洞CVE-2020-8559，CVSS Rating: Medium (6.4) CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H。攻击者可以通过截取某些发送至节点kubelet的升级请求，通过请求中原有的访问凭据转发请求至其它目标节点，攻击者可利用该漏洞提升权限。参考链接：https://github.com/kubernetes/kubernetes/issues/92914

云容器实例 CCI
云容器实例 CCI-环境设置:（可选）准备SSL证书

（可选）准备SSL证书云容器实例支持使用HTTPS访问负载，在创建负载时，您可以使用自己的SSL证书。 SSL证书分为权威证书和自签名证书。权威证书由权威的数字证书认证机构签发，您可向第三方证书代理商购买，使用权威证书的Web网站，默认客户端都是信任的。自签名证书是由用户自己颁发给自己的，一般可以使用openssl生成，默认客户端是不信任的，浏览器访问时会弹出告警，选择忽略告警可继续正常访问。 SSL证书具体信息请参见SSL证书。

云容器实例 CCI
云容器实例 CCI-环境设置:（可选）上传镜像

（可选）上传镜像云平台提供了容器镜像服务，您可以上传容器镜像到容器镜像仓库中，创建负载时使用该镜像，具体使用方法请参见客户端上传镜像。 CCI当前暂不支持对接第三方镜像仓库。如果您开通了企业管理，使用账号登录云容器实例控制台时，您需要在账号下的容器镜像服务中给IAM用户添加权限，IAM用户才能使用账号下的私有镜像。给IAM用户添加权限有如下两种方法：在镜像详情中为IAM用户添加授权，授权完成后，IAM用户享有读取/编辑/管理该镜像的权限，具体请参见在镜像详情中添加授权。在组织中为IAM用户添加授权，使IAM用户对组织内所有镜像享有读取/编辑/管理的权限，具体请参见在组织中添加授权。

云容器实例 CCI
云容器实例 CCI-伸缩负载:弹性伸缩

弹性伸缩当前仅支持无状态负载弹性伸缩。您可以根据业务需求自行定义伸缩策略，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助您节约资源和人力成本。当前支持三种弹性伸缩策略：告警策略：支持根据CPU/内存的使用率，进行工作负载的自动伸缩。工作负载创建完成后即可设置，在CPU/内存超过或少于一定值时，自动增减实例。定时策略：支持在特定时间点进行工作负载的自动伸缩。适用于秒杀周年庆等活动，例如在秒杀这个时间点增加一定数量的实例个数。周期策略：支持以天、周、月为周期的伸缩策略。适用于周期性的流量变化。

云容器实例 CCI 工作负载
云容器实例 CCI-kube-proxy安全漏洞CVE-2020-8558公告:漏洞分析结果

漏洞分析结果综合以上分析，CCI服务不受本次漏洞影响，因为： CCI当前集群基于Kubernetes 1.15版本，但kube-proxy组件使用自研代码，不涉及net.ipv4.conf.all.route_localnet=1参数。 CCI的集群形态与普通kubernetes集群不同。CCI基于安全容器并与华为云网络服务深度整合，用户VPC网络与CCI物理主机网络不在同一个2层域中。CCI服务侧没有信息泄漏风险。用户容器内核默认没有开启net.ipv4.conf.all.route_localnet=1参数，用户绑定在localhost的进程无法进行同VPC内跨节点访问。用户侧没有信息泄漏风险。

云容器实例 CCI
云容器实例 CCI-kube-proxy安全漏洞CVE-2020-8558公告:漏洞详情

漏洞详情 Kubernetes官方发布安全漏洞（CVE-2020-8558），Kubernetes节点的设置允许相邻主机绕过本地主机边界进行访问。 Kubernetes集群节点上如果有绑定在127.0.0.1上的服务，则该服务可以被同一个LAN或二层网络上的主机访问，从而获取接口信息。如果绑定在端口上的服务没有设置身份验证，则会导致该服务容易受到攻击。参考链接： https://github.com/kubernetes/kubernetes/issues/92315

云容器实例 CCI
云容器实例 CCI-CVE-2020-13401的漏洞公告:漏洞详情

漏洞详情 Kubernetes官方发布安全漏洞CVE-2020-13401，CVSS Rating: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:L (6.0 Medium)。漏洞源于IPv6动态分配除提供了IPv6的DHCP技术外，还支持Router Advertisement技术。路由器会定期向节点通告网络状态，包括路由记录。客户端会通过NDP进行自身网络配置。恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录，实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知，但是如果DNS返回了A(IPv4)和AAAA(IPv6)记录，许多HTTP库都会尝试IPv6进行连接，如果再回退到IPv4，这为攻击者提供了响应的机会。参考链接：https://github.com/kubernetes/kubernetes/issues/91507

云容器实例 CCI 漏洞修复公告
表格存储服务 CloudTable-重启集群API入口:URI

URI POST /v2/{project_id}/clusters/{cluster_id}/restart 表1 路径参数参数是否必选参数类型描述 project_id 是 String 项目ID。获取方法，请参见获取项目ID。 cluster_id 是 String 集群ID。获取方法：在CloudTable控制台，单击要查询的集群名称进入集群详情页，获取“集群ID"。请参见获取集群ID。

表格存储服务 CloudTable

共100000条

undefined

意见反馈

0/200

提交取消

提交成功！非常感谢您的反馈，我们会继续努力做到更好反馈提交失败！请稍后重试！