华为云用户手册

  • 使用流程 以下流程主要以设备间一对一为例: 图1 M2M使用流程 创建流转规则,设置转发Topic:在控制台界面创建M2M流转规则并设置转发Topic。 策略配置:在控制台界面进行策略配置。通过策略配置允许发送、接收数据的设备进行发布及订阅。 设备A、B鉴权:设备发起连接鉴权(MQTT设备),鉴权参数填写请参考:设备连接鉴权。 设备B订阅Topic:设备对云服务端进行主题订阅。设备B订阅的Topic为创建流转规则中设置的Topic。若订阅成功,平台返回订阅成功ACK。 设备A数据上报:设备对云服务端进行主题发布。若发布成功,平台返回发布成功ACK。 设备B收到数据:若转发成功,设备B将收到设备A发送的数据。
  • 操作步骤 以下示例主要针对平台中创建流转规则配置。通过修改流转规则可以实现不同场景的应用。 访问 设备接入服务 ,单击“管理控制台”进入设备接入控制台。选择您的实例,单击实例卡片进入。在左侧导航栏“规则”中单击“数据转发”,可到数据转发界面。 图2 数据转发-列表 单击“创建规则”按照业务具体填写需要转发的数据参数,填写完成后单击“创建规则”。参数值可参考下图。 图3 新建流转规则-M2M 表1 创建数据转发规则-参数说明 参数说明 规则名称 自定义,如test。长度不超过256,只允许中文、字母、数字、以及_?'#().,&%@!-等字符的组合。 规则描述 自定义,对该规则的描述。 数据来源 转发规则的数据来源,下拉可选择多种数据来源。在使用M2M时,请选择“设备消息”。 触发事件 不同的数据来源有不同的触发事件,若使用M2M,请选择“设备消息上报”。 资源空间 下拉选择所属的资源空间。可以选择所有资源空间,如无对应的资源空间,请先创建资源空间。 数据过滤语句 使用SQL语句可以进行数据筛选,详情可见:SQL语句。图片中在WHERE中填入notify_data.body.topic IN ('/test/M2M'),代表只有Topic为“/test/M2M”的数据进行数据转发。 在创建数据转发规则的第二步,可以添加转发到的目标,包括设置转发后的Topic、缓存时间等。若使用M2M,请将转发目标设置为“设备”,按照业务具体填写参数后单击“确定”。 图4 新建转发目标-转发至设备 表2 设置转发目标-参数说明 参数说明 转发目标 下拉选择转发目标,在设备间消息通信中,请选择为“设备”。 Topic 自定义,长度不超过128个字符,可以以$和/开头,不可以$和/符号结尾;不允许有a-zA-Z0-9() ',-.:=@;_!*'%?+\以外的符号。 如果Topic值设置为“$topic()”,则转发后的Topic和上报数据的Topic一样。 ttl 数据缓存时间。当设备不在线时,数据会进行缓存(当ttl为0时不缓存),当设备上线时再进行下发。输入值范围在0~1440(一天)分钟,且值为5的倍数。 启动规则。在创建数据转发规则的第三步,单击页面中央的“启动规则”,完成规则设置。 图5 启动规则-转发至设备
  • 签发设备证书 使用OpenSSL工具为设备证书生成密钥对,即”设备证书(客户端证书)私钥”。 openssl genrsa -out deviceCert.key 2048 使用密钥对生成证书签名请求文件: openssl req -new -key deviceCert.key -out deviceCert.csr 生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished Name,DN)信息,参数说明如下表1所示。 表2 证书签名请求文件参数列表 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构(或公司名) Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称(CN) Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码,如您不设置密码,可以直接回车 / An optional company name []: 可选公司名称,如您不设置,可以直接回车 / 使用CA证书、CA证书私钥和上一步骤中生成的 CS R文件创建设备证书(deviceCert.crt)。 openssl x509 -req -in deviceCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out deviceCert.crt -days 36500 -sha256 生成设备证书用到的“rootCA.crt”和“rootCA.key”这两个文件,为“制作CA证书”中所生成的两个文件,且需要完成”验证CA证书”流程。 “-days”后的参数值指定了该证书的有效天数,此处示例为36500天,您可根据实际业务场景和需要进行调整
  • 验证CA证书 登录设备发放控制台。 在设备发放控制台,左侧导航窗格中,选择“证书”,单击“证书列表”条目的操作栏中的“验证证书”。 图3 上传CA证书完成页 在上传验证证书页面,单击“生成验证码”,单击“复制图标”复制此CA证书的随机验证码。 图4 复制验证码 CA证书验证码有效期为一天,请及时使用验证码生成验证证书并完成验证。 验证码的生成为替换机制,即对于一个CA证书,即使此前的验证码未过期,也将被新生成的验证码替换。 使用OpenSSL工具为验证证书生成密钥对。 openssl genrsa -out verificationCert.key 2048 利用此验证码生成证书签名请求文件CSR。 openssl req -new -key verificationCert.key -out verificationCert.csr CSR文件的Common Name (e.g. server FQDN or YOUR name) 需要填写此验证码。 使用CA证书、CA证书私钥和上一步骤中生成的CSR文件创建验证证书(verificationCert.crt)。 openssl x509 -req -in verificationCert.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out verificationCert.crt -days 36500 -sha256 生成验证证书用到的“rootCA.crt”和“rootCA.key”这两个文件,为“制作CA证书”中所生成的两个文件。 “-days”后的参数值指定了该证书的有效天数,此处示例为36500天,您可根据实际业务场景和需要进行调整。 上传验证证书进行验证。 图5 上传验证证书
  • 制作CA证书 在浏览器中访问这里,下载并进行安装OpenSSL工具,安装完成后配置环境变量。 在 D:\certificates 文件夹下,以管理员身份运行cmd命令行窗口。 生成密钥对(rootCA.key): 生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”,“验证证书”以及“设备证书”时需要用到,请妥善保存。 openssl genrsa -des3 -out rootCA.key 2048 使用密钥对生成证书签名请求文件: 生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished Name,DN)信息,参数说明如下表1 所示。 表1 证书签名请求文件参数列表 提示 参数名称 取值样例 Country Name (2 letter code) []: 国家/地区 CN State or Province Name (full name) []: 省/市 GuangDong Locality Name (eg, city) []: 城市 ShenZhen Organization Name (eg, company) []: 组织机构(或公司名) Huawei Technologies Co., Ltd. Organizational Unit Name (eg, section) []: 机构部门 Cloud Dept. Common Name (eg, fully qualified host name) []: CA名称(CN) Huawei IoTDP CA Email Address []: 邮箱地址 / A challenge password []: 证书密码,如您不设置密码,可以直接回车 / An optional company name []: 可选公司名称,如您不设置,可以直接回车 / openssl req -new -key rootCA.key -out rootCA.csr 生成CA证书(rootCA.crt): openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt “-days”后的参数值指定了该证书的有效天数,此处示例为50000天,您可根据实际业务场景和需要进行调整。
  • 操作流程 本章节介绍如何快速购买全力防高级版并开启防护,流程如图1所示。 图1 操作流程 操作步骤 说明 准备事项 注册华为账号 、开通华为云、为账户充值、授予DDoS原生高级防护权限、准备ECS服务器。 步骤一:购买全力防高级版 在指定区域购买全力防高级版。 步骤二:购买专属EIP并绑定ECS 在指定区域购买DDoS防护专属EIP并绑定到ECS服务器。 步骤三:创建防护策略 为防护对象创建并配置防护策略。 步骤四:添加防护对象 将防护对象添加到全力防高级版实例。
  • 入门实践 当您成为华为云用户,即可免费使用DDoS原生基础防护(Anti-DDoS流量清洗)服务;如果您需要获得更好的防护能力,推荐购买更高版本的DDoS防护服务。 本文介绍不同版本DDoS防护服务的防护实践,帮助您更好地使用DDoS防护服务。 表1 DDoS防护 版本 实践 描述 DDoS原生基础防护(Anti-DDoS流量清洗) 使用流程 如何免费使用Anti-DDoS流量清洗 介绍如何快速使用Anti-DDoS流量清洗服务。 日常维护 通过ECS访问被黑洞的服务器 通过弹性云服务器远程访问被黑洞的服务器。 DDoS原生高级防护 联动防护 华为云“DDoS原生高级防护+ELB”联动防护 为部署在华为云ECS上的网站业务配置“DDoS原生高级防护+ELB”联动防护,进一步提升ECS防御DDoS攻击能力。 DDoS高防 等保合规 等保合规安全解决方案 为客户提供一站式的安全解决方案,帮助客户快速、低成本完成安全整改,轻松满足等保合规要求。 DDoS调度中心 联动防护 DDoS阶梯调度最佳实践 购买DDoS原生防护-全力防基础版时选择开启联动防护后,通过配置DDoS阶梯调度策略,可以自动联动调度DDoS高防对DDoS原生防护-全力防基础版防护的云资源进行防护,提升防护能力。
  • 准备事项 在使用全力防基础版之前,请先注册华为账号并开通华为云。具体操作详见注册华为账号并开通华为云、实名认证。 如果您已开通华为云并进行实名认证,请忽略此步骤。 请保证账户有足够的资金,防止购买全力防基础版失败。具体操作请参见账户充值。 请确保已为账号赋予相关权限。具体操作请参见创建用户并授权使用CNAD。 在华北-北京四区域参考购买弹性云服务器创建一台ECS服务器并绑定弹性公网IP。 如果用户已有符合要求的ECS服务器,可重复使用,无需再次创建。
  • 步骤三:配置Anti-DDoS防护策略 单击“公网IP”页签,在目标公网IP所在行,单击“防护设置”。 图4 防护设置 根据实际需要修改防护设置后,单击“确定”。 图5 修改防护设置 表2 参数说明 参数 示例 说明 防护设置 手动设置 默认防护为120Mbps,手动设置支持更多其他档位。 流量清洗阈值 150Mbps 建议选择与所购买带宽最接近的数值,但不超过购买带宽。 Anti-DDoS检测到IP的入流量超过该阈值时,触发流量清洗。
  • 操作流程 本章节介绍如何为EIP快速配置Anti-DDoS防护,流程如图1所示。 图1 操作流程 操作步骤 说明 准备事项 注册华为账号、开通华为云、授予Anti-DDoS权限、准备防护对象。 步骤一:查看公网IP状态 查看防护对象是否已同步到Anti-DDoS控制台并开启默认防护。 步骤二:开启告警通知 为防护对象设置流量清洗告警通知。 步骤三:配置Anti-DDoS防护策略 为防护对象配置流量清洗策略。 步骤四:查看监控报表 查看防护对象的防护状态、流量详情。
  • 步骤二:开启告警通知 单击“告警通知”页签。 打开告警通知开关,设置告警参数后,单击“应用”。 图3 设置告警通知 表1 参数说明 参数 示例 说明 清洗流量告警阈值 1000Kbps 当清洗流量大小达到该阈值时,发送告警通知,请根据实际需要设置阈值大小。 SMN 告警通知开关 将告警开关设置为,打开告警。 当弹性公网IP受到DDoS攻击时用户会收到提醒消息(短信或Email)。 消息通知 主题 - 可以选择使用已有的主题,或单击“查看消息通知主题”创建新的主题。 主题创建方法请参考创建主题。
  • 漏洞详情 2019年6月18日,Redhat发布安全公告,Linux内核处理器TCP SACK模块存在3个安全漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479),这些漏洞与最大分段大小(MSS)和TCP选择性确认(SACK)功能相关,攻击者可远程发送特殊构造的攻击包造成拒绝服务攻击,导致服务器不可用或崩溃。 参考链接: https://www.suse.com/support/kb/doc/?id=7023928 https://access.redhat.com/security/vulnerabilities/tcpsack https://www.debian.org/lts/security/2019/dla-1823 https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/SACKPanic? https://lists.centos.org/pipermail/centos-announce/2019-June/023332.html https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md 表1 漏洞信息 漏洞类型 CVE-ID 披露/发现时间 华为云修复时间 输入验证错误 CVE-2019-11477 2019-06-17 2019-07-11 资源管理错误 CVE-2019-11478 2019-06-17 2019-07-11 资源管理错误 CVE-2019-11479 2019-06-17 2019-07-11
  • 附:TCP SACK介绍 TCP是面向连接的协议。当双方希望通过TCP连接进行通信时,他们通过TCP握手交换某些信息建立连接,例如发起一个TCP请求,通过SYN发送初始序列ID、确认ID、连接使用的最大数据包段大小(MSS)、认证信息和处理选择性确认(SACK)等。整体TCP连接通过我们熟知的三次握手最终建立。 TCP通过一个数据段单元发送和接收用户数据包。 TCP数据段由TCP头、选项和用户数据组成。每个TCP段都有序列号(SEQ)和确认号(ACK)。 接收方通过SEQ号和ACK号来跟踪成功接收了哪些段。ACK号下一个预期接受的段。 示例: 上图中用户A通过13个100字节的段发送1k字节的数据,每个段具有20字节的TCP头,总计是13个段。在接收端,用户B接收了段1,2,4,6,8-13,而段3,5和7丢失,B没有接收到。 通过使用ACK号,用户B告诉A,他需要段3,用户A读取到B接收到2后没有收到3,A将重新发送全部段,尽管B已经收到了4,6和8-13段。这就导致了网络的低效使用。
  • 漏洞详情 Kubernetes官方发布安全漏洞CVE-2020-8557,CVSS Rating: Medium (5.5) CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/CR:H/IR:H/AR:M。 漏洞源于kubelet的驱逐管理器(eviction manager)中没有包含对Pod中挂载的/etc/hosts文件的临时存储占用量管理,因此在特定的攻击场景下,一个挂载了/etc/hosts的Pod可以通过对该文件的大量数据写入占满节点的存储空间,从而造成节点的拒绝访问(Denial of Service)。 参考链接:https://github.com/kubernetes/kubernetes/issues/93032
  • 操作步骤 账号A委托账号B以联邦用户的身份管理账号A中的资源,需要完成以下步骤: 创建委托(委托方操作) 登录委托方(账号A) IAM 控制台创建委托,需要填写被委托方(账号B)的账号名称,并授予被委托方(账号B)云容器实例所有权限“CCI FullAccess”,拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。 为委托账号授权命名空间权限(委托方操作) 进入委托方(账号A)的CCI控制台,在权限管理页面为被委托方(账号B)授予命名空间下资源的权限,通过权限设置可以让不同的委托账号拥有操作指定Namespace下Kubernetes资源的权限。 联邦身份认证(被委托方操作) 登录被委托方(账号B),在被委托方(账号B)中进行联邦身份认证操作。 在委托联邦用户管理资源之前,需对被委托方进行联邦身份认证,联邦身份认证过程主要分为两步:建立互信关系并创建身份提供商和在华为云配置身份转换规则。 创建身份提供商时,会创建出默认的身份转换规则,用户需要单击“编辑规则”将默认的身份转换规则更新掉,或者将默认的身份转换规则删除,重新创建新的规则。如果默认的身份转换规则在没有删掉的情况下直接添加新规则,可能会匹配上这条默认规则,添加的新规则就会不生效。 分配委托权限(被委托方操作) 如果被委托方(账号B)下的子用户想要切换委托,就必须由被委托方(账号B)分配委托权限。因此,为了使得联邦用户拥有管理委托方(账号A)资源的权限,就需要被委托方(账号B)授予联邦用户所在用户组(federation_group)自定义策略“federation_agency”。“federation_group”用户组为联邦用户所在的用户组,也是配置身份转换规则时,写入规则中的联邦用户组。 切换角色(被委托方操作) 账号B以及分配了委托权限的联邦用户,可以切换角色至委托方账号A中,根据权限管理委托方的资源。
  • 网络访问概述 负载访问可以分为如下几种场景: 内网访问:访问内网资源。 使用“Service”方式访问:该方式适合CCI中同一个命名空间中的负载相互访问。 使用ELB(私网)访问:该方式适合云服务内部资源(云容器实例以外的资源,如ECS等)且与负载在同一个VPC内互相访问,另外在同一个VPC不同命名空间的负载也可以选择此种方式。通过内网 域名 或ELB的“IP:Port”为内网提供服务,支持HTTP/HTTPS和TCP/UDP协议。如果是内网且与负载不在同一个VPC内,也可以选择创建VPC对等连接,使得两个VPC之间网络互通。 公网访问:即给负载绑定ELB(ELB必须与负载在同一个VPC内),通过ELB从公网访问负载。 从容器访问公网:通过在NAT网关服务中配置SNAT规则,使得容器能够访问公网。 图1 网络访问示意图 父主题: 负载网络访问
  • 容器启动命令 启动容器就是启动主进程,但有些时候,启动主进程前,需要一些准备工作。比如MySQL类的数据库,可能需要一些数据库配置、初始化的工作,这些工作要在最终的MySQL服务器运行之前解决。这些操作,可以在制作镜像时通过在Dockerfile文件中设置ENTRYPOINT或CMD来完成,如下所示的Dockerfile中设置了ENTRYPOINT ["top", "-b"]命令,其将会在容器启动时执行。 FROM ubuntuENTRYPOINT ["top", "-b"] 启动命令必须为容器镜像支持的命令,否则会导致容器启动失败。 在云容器实例中同样可以设置容器的启动命令,例如上面Dockerfile中的命令,只要在创建负载时配置容器的高级设置,先单击“添加”,输入“top”命令,再单击“添加”,输入参数“-b”,如下图所示。 图1 启动命令 由于容器引擎运行时只支持一条ENTRYPOINT命令,云容器实例中设置的启动命令会覆盖掉制作镜像时Dockerfile中设置的ENTRYPOINT和CMD命令,其规则如下表所示。 镜像Entrypoint 镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test] [touch /opt/test] [touch] [/root/test] [mkdir] [/opt/test] [mkdir /opt/test] 父主题: 工作负载
  • 配置说明 您需要拥有一个主账号,仅主账号、授予了CCIFullAccess权限的用户或拥有RBAC所有权限的用户,才可以对其他用户进行授权操作。 本例将对用户和用户组授予操作不同命名空间资源的权限,在您的实际业务中,您可根据业务需求仅对用户或用户组授予不同的权限。 本例仅用于给用户或用户组在未授权过的命名空间下新增权限,已授权的用户或用户组的权限可以在“权限管理”的列表“操作”栏中单击“编辑”进行修改。 当给用户或用户组添加多个权限时,多个权限会同时生效(取并集);为用户组设置的权限将作用于用户组下的全部用户。 在开启RBAC鉴权场景下,同类权限取并集,不同类权限取交集。例如,IAM细粒度鉴权中给用户组添加了多个权限,此时权限取最高权限,同理CCI权限管理给用户或用户组添加了多个权限,此时权限也取最高权限,即为同类权限取并集。当用户拥有CCI CommonOperations权限时,本可以创建无状态负载,但如该用户以及用户所在用户组未在目标Namespace下被赋予对应RBAC权限,则创建无状态负载会鉴权失败,即为不同类权限取交集。
  • 示例流程 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间,不同命名空间中的数据彼此隔离,使得它们既可以共享同一个集群的服务,也能够互不干扰。命名空间的一个重要的作用是充当一个虚拟的集群,用于多种工作用途,满足多用户的使用需求。 本章节将沿用创建用户并授权使用CCI中创建的IAM用户“James”和用户组“开发人员组”进行说明,为IAM用户“James”和用户组“开发人员组”添加命名空间权限,可以参考如下操作: 步骤一:为IAM用户/用户组添加命名空间权限 步骤二:用户登录并验证权限
  • 步骤一:为IAM用户/用户组添加命名空间权限 本步骤以主账号给CCI CommonOperations用户(James)赋予Namespace下view权限为例,被授权的CCI CommonOperations用户在该Namespace下只有只读权限。 登录云容器实例管理控制台,在左侧导航栏中选择“权限管理”,进入权限管理页面。 单击“添加授权”,进入添加授权页面。 图1 添加授权 在添加授权页面,选择要授权使用的命名空间,此处选择“cci-namespace-demo-rbac”。 图2 选择命名空间 为“开发人员组”增加“admin”权限,在展开的选项中进行如下配置: 用户/用户组:选择“用户组”,并在二级选项中选择“开发人员组”。 权限:选择“admin”。 图3 为用户组授予admin权限 单击下方的“添加命名空间权限”,为用户“James”增加在另一个命名空间“cci-namespace-demo-rbac01”的权限,在展开的选项中进行如下配置: 命名空间:选择“cci-namespace-demo-rbac01”。 用户/用户组:选择“用户”,并在二级选项中选择“James”。 权限:选择“view”。 图4 添加命名空间权限 单击“创建”,完成以上用户和用户组在命名空间中的相应权限设置。 图5 命名空间权限列表 经过以上操作,授权结果如下: 由于“开发人员组”包含IAM用户“James”,因此IAM用户“James”也同时获得了在命名空间“cci-namespace-demo-rbac”的“admin”权限。 为IAM用户“James”增加了在命名空间“cci-namespace-demo-rbac01”的“view”权限。
  • 监控指标 在 AOM 控制台,可以查看容器实例的指标,指标内容请参见表1。 表1 监控指标 指标ID 指标名称 指标含义 取值范围 单位 cpuUsage CPU使用率 该指标用于统计测量对象的CPU使用率。服务实际使用的与限制的CPU核数量比率。 0~100% 百分比(Percent) cpuCoreLimit CPU内核总量 该指标用于统计测量对象限制的CPU核总量。 ≥1 核(Core) cpuCoreUsed CPU内核占用 该指标用于统计测量对象已经使用的CPU核个数。 ≥0 核(Core) memCapacity 物理内存总量 该指标用于统计测量对象限制的物理内存总量。 ≥0 兆字节(Megabytes) memUsage 物理内存使用率 该指标用于统计测量对象已使用内存占限制物理内存总量的百分比。 0~100% 百分比(Percent) memUsed 物理内存使用量 该指标用于统计测量对象实际已经使用的物理内存(Resident Set Size)。 ≥0 兆字节(Megabytes)
  • 操作步骤 登录云容器实例管理控制台,在左侧导航栏中选择“权限管理”,进入权限管理页面。 单击“添加授权”,进入添加授权页面。 图1 添加授权 在添加授权页面,选择要授权使用的命名空间,此处选择“rbac-test-3”。 图2 选择命名空间 为“委托账号”增加“admin”权限,在展开的选项中进行如下配置: 用户/用户组:选择“委托账号”,并在二级选项中选择需要授权的委托账号。 权限:选择“admin”。 图3 为委托账号授予admin权限 单击“创建”,完成委托账号在命名空间中的相应权限设置。
  • 漏洞详情 近日Kubernetes官方披露了kube-apiserver组件的安全漏洞CVE-2020-8559,CVSS Rating: Medium (6.4) CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H。攻击者可以通过截取某些发送至节点kubelet的升级请求,通过请求中原有的访问凭据转发请求至其它目标节点,攻击者可利用该漏洞提升权限。 参考链接:https://github.com/kubernetes/kubernetes/issues/92914
  • (可选)准备SSL证书 云容器实例支持使用HTTPS访问负载,在创建负载时,您可以使用自己的SSL证书。 SSL证书分为权威证书和自签名证书。权威证书由权威的数字证书认证机构签发,您可向第三方证书代理商购买,使用权威证书的Web网站,默认客户端都是信任的。自签名证书是由用户自己颁发给自己的,一般可以使用openssl生成,默认客户端是不信任的,浏览器访问时会弹出告警,选择忽略告警可继续正常访问。 SSL证书具体信息请参见SSL证书。
  • (可选)上传镜像 云平台提供了 容器镜像服务 ,您可以上传容器镜像到容器镜像仓库中,创建负载时使用该镜像,具体使用方法请参见客户端上传镜像。 CCI当前暂不支持对接第三方镜像仓库。 如果您开通了企业管理,使用账号登录云容器实例控制台时,您需要在账号下的容器 镜像服务 中给IAM用户添加权限,IAM用户才能使用账号下的私有镜像。 给IAM用户添加权限有如下两种方法: 在镜像详情中为IAM用户添加授权,授权完成后,IAM用户享有读取/编辑/管理该镜像的权限,具体请参见在镜像详情中添加授权。 在组织中为IAM用户添加授权,使IAM用户对组织内所有镜像享有读取/编辑/管理的权限,具体请参见在组织中添加授权。
  • 弹性伸缩 当前仅支持无状态负载弹性伸缩。 您可以根据业务需求自行定义伸缩策略,降低人为反复调整资源以应对业务变化和高峰压力的工作量,帮助您节约资源和人力成本。当前支持三种弹性伸缩策略: 告警策略:支持根据CPU/内存的使用率,进行工作负载的自动伸缩。工作负载创建完成后即可设置,在CPU/内存超过或少于一定值时,自动增减实例。 定时策略:支持在特定时间点进行工作负载的自动伸缩。适用于秒杀周年庆等活动,例如在秒杀这个时间点增加一定数量的实例个数。 周期策略:支持以天、周、月为周期的伸缩策略。适用于周期性的流量变化。
  • 漏洞分析结果 综合以上分析,CCI服务不受本次漏洞影响,因为: CCI当前集群基于Kubernetes 1.15版本,但kube-proxy组件使用自研代码,不涉及net.ipv4.conf.all.route_localnet=1参数。 CCI的集群形态与普通kubernetes集群不同。CCI基于安全容器并与华为云网络服务深度整合,用户VPC网络与CCI物理主机网络不在同一个2层域中。CCI服务侧没有信息泄漏风险。 用户容器内核默认没有开启net.ipv4.conf.all.route_localnet=1参数,用户绑定在localhost的进程无法进行同VPC内跨节点访问。用户侧没有信息泄漏风险。
  • 漏洞详情 Kubernetes官方发布安全漏洞(CVE-2020-8558),Kubernetes节点的设置允许相邻主机绕过本地主机边界进行访问。 Kubernetes集群节点上如果有绑定在127.0.0.1上的服务,则该服务可以被同一个LAN或二层网络上的主机访问,从而获取接口信息。如果绑定在端口上的服务没有设置身份验证,则会导致该服务容易受到攻击。 参考链接: https://github.com/kubernetes/kubernetes/issues/92315
  • 漏洞详情 Kubernetes官方发布安全漏洞CVE-2020-13401,CVSS Rating: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:L (6.0 Medium)。 漏洞源于IPv6动态分配除提供了IPv6的DHCP技术外,还支持Router Advertisement技术。路由器会定期向节点通告网络状态,包括路由记录。客户端会通过NDP进行自身网络配置。 恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录,实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知,但是如果DNS返回了A(IPv4)和AAAA(IPv6)记录,许多HTTP库都会尝试IPv6进行连接,如果再回退到IPv4,这为攻击者提供了响应的机会。 参考链接:https://github.com/kubernetes/kubernetes/issues/91507
  • URI POST /v2/{project_id}/clusters/{cluster_id}/restart 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。获取方法,请参见获取项目ID。 cluster_id 是 String 集群ID。 获取方法:在CloudTable控制台,单击要查询的集群名称进入集群详情页,获取“集群ID"。请参见获取集群ID。
共100000条