通过隔离确保安全:整体应用中,若存在安全漏洞,会获得所有功能的权限。微服务架构中,若攻击了某个服务,只可获得该服务的访问权限,无法入侵其他服务。 隔离崩溃:如果其中一个微服务崩溃,其它微服务还可以持续正常运行。 业务需要微服务化改造,改动较大。
新增规则禁用一些存在越权风险的Anntotations值 修复CVE-2021-25745漏洞,新增规则禁用一些存在越权风险的访问路径 1.2.0 表11 NGINX Ingress控制器插件2.0.x版本发布记录 插件版本 支持的集群版本 更新特性 社区版本 2.0.1 v1.19
由于容器共享宿主机的内核,一旦容器内部发生恶意行为或利用内核漏洞,就可能突破资源隔离,导致容器逃逸,进而威胁到宿主机及其他容器的安全。
不支持较低版本的TLS NGINX原生的root及alias指令不再支持 NGINX Ingress控制器支持优雅升级 NGINX原生有效性检查默认关闭 影响版本:3.0.34及以上版本 NGINX Ingress控制器插件3.0.34对应的社区版本为v1.11.5,该版本中修复了安全漏洞
免费安全体检报告:提供月度免费体检报告,识别集群风险配置、镜像漏洞、特权容器等风险项。 主机安全容器版防护:提供容器逃逸等运行态防护、容器资产识别等功能,应对业务容器化改造场景。关于主机安全容器版的价格详情请参见价格计算器。
主动升级集群有以下好处: 降低安全和稳定性风险:Kubernetes版本迭代过程中,会不断修复发现的安全及稳定性漏洞,长久使用EOS版本集群会给业务带来安全和稳定性风险。 支持新功能和新操作系统:Kubernetes版本的迭代过程中,会不断带来新的功能、优化。
v1.31集群 修复CVE-2022-31130、CVE-2022-39201、CVE-2022-31123、CVE-2022-31107、CVE-2023-3128、CVE-2023-0594、CVE-2022-39229、CVE-2022-35957、CVE-2022-39307漏洞
NGINX Ingress控制器插件使用开源社区的模板与镜像,使用过程中可能存在缺陷,CCE会定期同步社区版本来修复已知漏洞。请评估是否满足您的业务场景要求。
period=10s #success=1 #failure=3 Environment: <none> Mounts: /var/run/secrets/kubernetes.io/serviceaccount from default-token-vssmw
可靠性 自建Kubernetes集群操作系统可能存在安全漏洞和配置错误,这可能导致未经授权的访问、数据泄露等安全问题。
NPU)插件版本记录 插件版本 支持的集群版本 更新特性 2.1.63 v1.25 v1.27 v1.28 v1.29 v1.30 v1.31 v1.32 支持CCE v1.32集群 2.1.53 v1.25 v1.27 v1.28 v1.29 v1.30 v1.31 修复安全漏洞
1.4.2 v1.21 v1.23 v1.25 v1.27 v1.28 支持v1.28集群 支持本地集群日志采集 支持GPU事件上报AOM字段特殊处理 1.3.10 v1.17 v1.19 v1.21 v1.23 v1.25 v1.27 v1.28 修复fluent-bit内存崩溃漏洞
集群当前时间内存的Request水位是否超过80% 是 集群版本是否超期 否 集群版本EOS后,云容器引擎(CCE)将不再支持对该版本的集群创建,同时不提供相应的技术支持,包含新特性更新、漏洞/问题修复、补丁升级以及工单指导、在线排查等客户支持,不再适用于CCE服务SLA保障。
通过运行时监控、漏洞检测等能力,确保集群主机、容器以及镜像等层面的安全,预防恶意攻击并满足合规要求。“安全服务”功能当前正处于上线阶段,已发布区域请以控制台实际为准。
负载自动调优 网络 VPC网络叠加容器网络(两层) VPC网络和容器网络融合,性能无损耗(一层) VPC网络和容器网络融合,性能无损耗(一层) 安全 基于NetworkPolicy提供容器维度的网络访问控制 Kata安全容器,给容器提供类似虚拟机级别的安全隔离能力 云原生专属OS,漏洞自动修复
约束与限制 AI数据加速引擎插件使用开源社区的模板与镜像,当前插件使用开源社区的模板与镜像,使用过程中可能存在缺陷,我们会定期同步社区版本来修复已知漏洞。请评估是否满足您的业务场景要求。 目前,AI数据加速引擎插件仅支持通过JuiceFS底层存储引擎使用数据缓存的能力。
误卸载存储池的磁盘后如何恢复 存储池是Everest创建的一种Custom Resource,资源为nodelocalvolumes,该资源在正常情况下不建议手动操作。Everest每分钟会扫描空闲磁盘,并检查已添加进存储池的磁盘是否正常。 Everest使用LVM进行存储池管理,
CCE集群升级时,ELB Ingress与ELB配置不一致如何处理? ELB资源简介 在CCE集群中,使用ELB Ingress可以将外部流量路由到集群内的服务。Ingress中定义的一系列参数实际上是作用于弹性负载均衡器(ELB)的配置,以便更好地控制流量管理和分发。表1将详细介绍这些
K8s废弃API检查异常处理 检查项内容 系统会扫描过去一天的审计日志,检查用户是否调用目标K8s版本已废弃的API。 由于审计日志的时间范围有限,该检查项仅作为辅助手段,集群中可能已使用即将废弃的API,但未在过去一天的审计日志中体现,请您充分排查。 解决方案 检查说明 根据检查结果
跨云Harbor同步镜像至华为云SWR 场景描述 部分客户存在多云场景,并且使用某一家云上的自建Harbor作为镜像仓库。跨云Harbor同步镜像至SWR存在两种场景: Harbor可以通过公网访问SWR,配置方法参见公网访问场景。 通过专线打通Harbor到VPC间的网络,使用VPC
