防范措施 对于此次漏洞的跨集群攻击场景,ACK集群使用了独立签发的CA,同时不同集群间认证凭据完全隔离。对于集群内跨节点的攻击,建议您采取以下安全防范措施:开启集群kube-apiserver审计日志,如果下列资源模型请求的请求响应码在300~...
ManagedKubernetes:ACK 托管类的集群,包括 ACK 托管集群(ACK 集群 Pro 版、ACK 集群基础版)、ACK Serverless 集群(Pro 版、基础版)、ACK Edge 集群(Pro 版、基础版)、ACK 灵骏集群(Pro 版)。ExternalKubernetes:注册集群。...
ManagedKubernetes:ACK 托管类的集群,包括 ACK 托管集群(ACK 集群 Pro 版、ACK 集群基础版)、ACK Serverless 集群(Pro 版、基础版)、ACK Edge 集群(Pro 版、基础版)、ACK 灵骏集群(Pro 版)。ExternalKubernetes:注册集群。...
ManagedKubernetes:ACK 托管类的集群,包括 ACK 托管集群(ACK 集群 Pro 版、ACK 集群基础版)、ACK Serverless 集群(Pro 版、基础版)、ACK Edge 集群(Pro 版、基础版)、ACK 灵骏集群(Pro 版)。ExternalKubernetes:注册集群。...
ENABLE-SWITCH-TYPE_50868:Linux 植入可疑文件 USER-ENABLE-SWITCH-TYPE_64025:Linux 入口服务执行命令[增强模式]USER-ENABLE-SWITCH-TYPE_51229:Windows 浏览器服务执行高危操作 USER-ENABLE-SWITCH-TYPE_51230:Windows 入口服务执行...
通过正确配置Pod安全策略以加固集群的安全性,防止集群成为攻击者利用的目标。防止进程逃离容器边界并获得权限 作为使用Kubernetes的开发或者运维人员,您需要重点关注如何防止在容器中运行的进程逃离容器的隔离边界并获得对宿主机的访问...
使用Alibaba Cloud Linux 2作为集群节点系统镜像 您可以在创建集群的配置过程中,将 操作系统 选择为 Alibaba Cloud Linux 2.1903 来使用Alibaba Cloud Linux 2作为集群节点系统镜像。具体步骤,请参见 通过OpenAPI创建Kubernetes托管版...
全部 创建集群 ACK Serverless支持集群故障诊断和集群巡检 ACK Serverless集群 巡检可以定时扫描集群运行状况,发现集群中潜在的风险,如云资源配额余量、Kuberrnetes集群关键资源水位等。ACK Serverless集群 故障诊断包括Pod诊断、网络...
全部 热迁移ACK标准版集群至ACK Pro版集群 集群访问SLB支持选择规格 集群创建时API Server访问的入口SLB实例已支持自选规格,您可根据自身需求选择不同规格的SLB实例,满足对API Server的不同访问压力。全部 创建ACK Pro版集群 节点池支持...
定期运行基线检查以验证集群是否符合 阿里云OS加固 和等保加固标准 阿里云OS加固 对于集群节点宿主机OS系统,阿里云OS加固 功能提供了对应的加固标准,提供的操作系统包括Alibaba Cloud Linux、CentOS、Ubuntu等。Alibaba Cloud Linux 3...
TDX介绍 Intel ® TDX是一项基于CPU硬件的云服务器ECS保护技术,TDX实例的CPU寄存器、内存数据、中断处理等均受到CPU硬件的机密保护,云厂商和外部攻击者均无法监控或篡改TDX实例的内部运行状态(如运行的进程、计算中的敏感数据等)。...
全部 migrate-controller 分布式云容器平台 ACK One 支持多集群网关 ACK One通过托管MSE Ingress Controller,将MSE云原生网关作为多集群网关,并基于 MSE Ingress 以Ingress的方式提供多集群南北向流量的管理,从而快速实现同城应用多活容...
全部 创建节点池 ACK新配额管理 ACK加强配额展示和申请功能,细化增加了ACK托管集群、ACK专有集群、ACK Serverless集群、ACK Edge集群、注册集群等各项配额在控制台的展示以及在配额中心的申请入口。全部 使用限制 ACK Serverless集群 支持...
背景信息 KMS硬件密钥管理实例可以对客户端应用或云产品服务端数据进行加密,避免文件或敏感数据(用户手机号码、身份证号、银行卡号等)被攻击或者在传输过程中被泄露。通过KMS实例连接加密服务密码机集群的方式,具有以下优势:降低使用...
集群配置 实践教程 主要内容 使用E-HPC集群调度器插件 E-HPC提供了调度器插件作为平台的外扩组件,在E-HPC现有调度器类型或版本不满足当前业务时,您可以通过该插件构建自定义调度器并接入E-HPC平台的能力。关闭计算节点的CPU超线程 E-HPC...
集群信息 在 集群信息 页签,您可以查看该集群的集群 名称、集群类型 等集群基本信息,还可查看该集群中包含的 命名空间、容器组、节点、应用 和 镜像 的数量。集群风险 在 集群风险 页签,您可以查看该集群存在的 安全告警、基线风险、...
调度器节点主机名 本地集群中部署了调度器的节点的主机名称。账号系统 本地集群中域账号服务的类型。本地集群域名 本地集群的域名。账号节点IP 本地集群中部署了域账号服务的节点的IP地址。账号节点主机名 本地集群中部署了域账号服务的...
常见问题 如何在一个已经运行应用的集群上,添加不同架构的Worker,并调度至新架构Worker 例如,集群原有 linux/amd64 的机器,需添加 linux/arm64 的机器,请按以下步骤操作:在ACK集群管控页面添加新的arm64节点池,节点池配置中添加污点...
使用限制 仅支持使用PBS和Deadline调度器的集群,不支持使用其他调度器的集群。操作步骤 登录 弹性高性能计算控制台。在顶部菜单栏左上角处,选择地域。在左侧导航栏,选择 作业与性能管理>报表。在顶部下拉列表中,选择目标集群。查看报表...
使用Alibaba Cloud Linux 3作为集群节点系统镜像 您可以在创建集群的配置过程中,将 操作系统 选择为 Alibaba Cloud Linux 3.2104 来使用Alibaba Cloud Linux 3作为集群节点系统镜像。具体步骤,请参见 创建Kubernetes托管版集群、创建...
创建集群后您可以登录集群进行相关操作,本文为您介绍使用控制台和第三方工具登录集群。前提条件 已创建用户。具体操作,请参见 用户管理。已为集群登录节点分配固定公网IP或绑定EIP。登录节点状态为 运行中。登录节点所在的安全组已放行对...
集群节点内核版本高于4.6的不同操作系统的Linux发行版均在此次漏洞的影响范围内,包括:Ubuntu Bionic(18.04)and newer Debian 9 Debian 10 CentOS 8/RHEL 8 对于容器服务ACK集群:如果您的集群节点操作系统选择的是Alibaba Cloud Linux 2...
使用限制 仅适用于Linux集群。仅适用于云上集群,不支持混合云集群。配置集群巡检 登录 弹性高性能计算控制台。在顶部菜单栏左上角处,选择地域。在左侧导航栏,选择 运维与监控>集群巡检。在集群列表中选择目标集群,然后单击 创建巡检。...
SET_REPLACE setsockopt时存在堆越界写入漏洞,该漏洞将允许本地用户通过用户名空间获取权限提升,该漏洞在KCTF中被用于攻击Kubernetes集群中的Pod容器,从而导致实现虚拟化逃逸。该漏洞已在Linux内核中存在15年。更多说明请参见 Linux:...
索引 注意事项 场景一:请求转发至ACK或ACK Serverless集群内多个Service 场景二:请求同时转发至ACK或ACK Serverless集群内Pod及集群外ECS 场景三:请求转发至集群内Pod以及集群外跨地域VPC上的ECS 场景四:请求转发至集群内Pod及本地IDC...
通过与集群主节点建立SSH连接,您可以使用终端上的Linux命令来管理和与集群进行交互操作。此外,您还可以使用SSH连接创建隧道,以便通过Web浏览器查看开源组件的Web页面。本文为您介绍如何在Windows和Linux环境中使用SSH方式(SSH密钥对或...
使用Linux的IPVS模块时,IPVS会默认启用其estimation功能,当服务器规格较大且Service数量多时(例如,容器Kubernetes大规模集群场景),该功能可能导致服务端的网络请求出现几十到上百毫秒的延时或引起网络抖动。Alibaba Cloud Linux镜像...
集群指运行高性能计算的节点集合,可以提供单节点不能提供的强大计算能力,拥有高性能、弹性扩展、稳定可靠等优点。本文介绍集群涉及的基本概念和功能。节点 E-HPC集群中的每个节点是一台ECS实例。按节点功能分类,可以分为登录节点、管控...
ACK Serverless集群 默认会将所有工作负载调度到x86架构的虚拟节点。如果您的集群中既有Arm虚拟节点,又有非Arm虚拟节点(例如x86虚拟节点),为了确保只兼容Arm架构的工作负载调度到Arm虚拟节点,或多架构镜像优先调度到Arm虚拟节点,您...
ACK集群 默认会将所有工作负载调度到x86架构的虚拟节点。如果您的集群中既有Arm虚拟节点,又有非Arm虚拟节点(例如x86虚拟节点),为了确保只兼容Arm架构的工作负载调度到Arm虚拟节点,或多架构镜像优先调度到Arm虚拟节点,您可以基于...
注意事项 为了保证控制面的稳定性,当前仅 ACK集群Pro版、ACK Serverless集群Pro版、ACK Edge集群Pro版、ACK灵骏集群 支持自定义部分控制面核心组件参数。支持自定义的参数,请参见 默认参数列表,具体请以控制台界面为准。修改参数之后,...
注意事项 为了保证控制面的稳定性,当前仅 ACK集群Pro版、ACK Serverless集群Pro版、ACK Edge集群Pro版、ACK灵骏集群 支持自定义部分控制面核心组件参数。支持自定义的参数,请参见 默认参数列表,具体请以控制台界面为准。修改参数之后,...
注意事项 为了保证控制面的稳定性,当前仅 ACK集群Pro版、ACK Serverless集群Pro版、ACK Edge集群Pro版、ACK灵骏集群 支持自定义部分控制面核心组件参数。支持自定义的参数,请参见 默认参数列表,具体请以控制台界面为准。修改参数之后,...
注意事项 为了保证控制面的稳定性,当前仅 ACK集群Pro版、ACK Serverless集群Pro版、ACK Edge集群Pro版、ACK灵骏集群 支持自定义部分控制面核心组件参数。支持自定义的参数,请参见 默认参数列表,具体请以控制台界面为准。修改参数之后,...
一种方案(推荐)是使用EMR控制台上的用户管理功能来添加账号,这种方式会将用户添加到EMR集群的OpenLDAP中,并通过每个节点的Nslcd服务映射该用户为Linux用户(集群必须安装OpenLDAP服务)。另外一种方案是对Linux账号进行手动管理,在每...
安全漏洞介绍 Alibaba Cloud Linux 3系统支持x86处理器与arm64处理器,这两类处理器在CPU安全漏洞的处理上有一定区别,下面分别介绍Alibaba Cloud Linux 3系统中x86与arm64的安全漏洞详情,以及如何通过启动命令行(boot cmdline)关闭安全...
ContainerOS是一种轻量级的Linux发行版,专门用于运行容器应用,并且尽可能减少非必要的软件包以降低攻击面和提高性能。前提条件 已创建 容器服务 Kubernetes 版 集群,容器运行时为containerd,且Kubernetes版本为1.24.6及以上。关于创建...
使用集群审计功能 在Kubernetes集群中,API Server的审计日志可以帮助集群管理人员记录或追溯不同用户的日常操作,是集群安全运维中重要的环节。关于通过日志服务收集、分析审计日志、为审计日志设置自定义的告警规则、关闭集群审计功能,...
关于Alibaba Cloud Linux 2和Alibaba Cloud Linux 3的Benchmark文件下载和更多信息,请使用CIS账号登录以下链接查看:Alibaba Cloud Linux 2 Alibaba Cloud Linux 3 加固项分类说明 CIS Alibaba Cloud Linux 2 Benchmark v1.0.0 CIS ...
调度器 API 标题 API概述 SetSchedulerInfo 设置调度器信息 为指定集群设置调度器配置信息。GetSchedulerInfo 查询指定集群的调度器配置 调用GetSchedulerInfo查询指定集群的调度信息。软件 API 标题 API概述 ListSoftwares 查询支持安装的...