容器网络安全-容器网络安全文档介绍内容-阿里云

ModifyInterceptionTarget-编辑容器防火墙网络对象

ModifyInterceptionTarget-编辑<em>容器</em>防火墙<em>网络</em>对象

编辑容器防火墙网络对象信息。调试您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。调试授权信息下表是API对应的授权信息，可以在RAM权限策略语句的 Action ...

GetAppNetwork-获取容器应用间网络拓扑

获取容器应用间网络拓扑。调试您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。调试授权信息下表是API对应的授权信息，可以在RAM权限策略语句的 Action 元素中...

ACK Edge集群在专线场景下的特殊配置说明

云边容器网络通信的安全组放开VXLAN使用的端口如果云边的业务需要使用容器网络通信，集群使用的安全组需要放开UDP 8472端口。具体操作如下：登录容器服务管理控制台，在左侧导航栏选择集群。在集群列表页面，单击目标集群名称，然后...

DNS解析异常问题排查

抓包常见问题及解决方案集群外部域名解析异常新增Headless类型域名无法解析 StatefulSets Pod域名无法解析安全组、交换机ACL配置错误 容器网络连通性异常 CoreDNS Pod负载高 CoreDNS Pod负载不均 CoreDNS Pod运行状态异常客户端负载...

DNS解析异常问题排查

抓包常见问题及解决方案集群外部域名解析异常新增Headless类型域名无法解析 StatefulSets Pod域名无法解析安全组、交换机ACL配置错误 容器网络连通性异常 CoreDNS Pod负载高 CoreDNS Pod负载不均 CoreDNS Pod运行状态异常客户端负载...

历史功能发布记录（2021年）

发布容器网络文件系统CNFS 1.0 CNFS通过将阿里云的文件存储抽象为一个Kubernetes对象（CRD）进行声明式管理，包括创建、删除、限额、挂载、监控及扩容等操作，使您可以进行容器一致的声明式管理，同时提高容器中使用文件存储的性能和数据...

第5课：容器存储-容器网络文件系统CNFS

本视频介绍如何用ACK CNFS提升NAS文件系统的性能和QoS控制。更多信息，请参见 容器网络文件系统CNFS概述。

部署和配置Terway网络插件

混合集群中的容器网络插件包括本地数据中心中运行的容器网络插件和云上计算节点上运行的容器网络插件两部分。本文将介绍如何在混合集群中部署和配置Terway网络插件。前提条件对于场景二：本地数据中心容器网络模式为BGP网络及场景三：...

开通服务

说明如果您仅需使用云安全中心提供的镜像安全扫描服务，您可以将版本选择为仅采购增值服务，并购买足够的容器镜像安全扫描数量。单击立即购买并完成支付。付费版用户开通服务防病毒版用户需要升级至高级版、企业版或旗舰版，并...

混合网络概述

关于云上容器网络插件的使用，通常建议使用对应云平台定制化的网络组件，阿里云容器平台统一使用Terway网络组件进行容器网络的管理。混合集群组网模式如下图所示。您在本地数据中心内的私网网段为192.168.0.0/24，容器网络网段为10.100.0.0...

使用CNFS管理NAS存储卷

容器网络文件系统CNFS（Container Network File System）可以提升NAS存储卷的性能和QoS控制，便于您实现NAS共享存储卷共享、隔离存储卷管理、自动扩容等。功能与文档说明通过CNFS方式使用NAS文件系统为了提升NAS文件系统的性能，容器...

安全沙箱概述

架构图特点安全沙箱v2是阿里云全新自研的基于轻量虚拟机技术的安全容器运行时，相比于v1版本，在保持超强隔离性的同时，overhead降低了90%，沙箱启动速度提升了3倍，单机密度提升了10倍。主要特点如下：基于轻量虚拟机，实现沙箱之间的...

入门概述

使用阿里云容器服务和容器网络文件系统搭建WordPress网站通过Ingress进行灰度发布相关文档您可以通过API、SDK、CLI、Terraform方式使用ACK，请参见使用Kubernetes API、SDK说明、新版阿里云CLI工具ARC使用说明和 Terraform概述。

边缘网络自治

同时容器网络VTEP（flannel.1虚拟网卡）的MAC地址跟Node Name保持绑定关系。无论是Flannel容器重启还是节点重启，VTEP的MAC地址都保持不变。具备网络自治能力的节点，即使在边缘节点和云端管控网络断连等异常情况下，业务重启还是节点重启...

网络管理FAQ

本文汇总网络管理中容器网络、Service、Ingress和DNS的常见问题。索引 容器网络FAQ Service FAQ Ingress FAQ DNS FAQ 网络基础相关 容器网络FAQ Terway相关 Terway网络模式下增加了虚拟交换机后，集群无法访问公网怎么办？使用Terway网络的...

漏洞CVE-2021-25745公告

更多信息，请参见配置容器安全策略（新版）和 容器安全策略规则库说明。止血方案2 您需要及时收敛非管理员用户创建和修改Ingress实例的权限。修复方案您可以关注Nginx Ingress Controller组件发布公告，及时升级该组件。更多该组件发布...

安全体系概述

本文从运行时安全、可信软件供应链和基础架构安全三个维度介绍阿里云容器服务Kubernetes版的安全体系，包括安全巡检、策略管理、运行时监控和告警、镜像扫描、镜像签名、云原生应用交付链、默认安全、身份管理、细粒度访问控制等。...

安全体系概述

本文从运行时安全、可信软件供应链和基础架构安全三个维度介绍阿里云容器服务Kubernetes版的安全体系，包括安全巡检、策略管理、运行时监控和告警、镜像扫描、镜像签名、云原生应用交付链、默认安全、身份管理、细粒度访问控制等。...

使用ACKTerway和CiliumHubble实现网络可观测性

在ACKTerway集群中部署CiliumHubble可以将容器网络流量、网络策略进行可视化展示，从而实现网络架构、业务拓扑关系的可观测性。本文介绍如何使用CiliumHubble查看容器网络中网络流量的来源、目的地等数据，实现网络可观测性。前提条件创建...

使用Flannel网络插件

Pod网络CIDR 集群可供分配的容器网络IP段，请参见专有网络VPC网段和Kubernetes网段关系。Service CIDR Service地址段，请参见专有网络VPC网段和Kubernetes网段关系。VPC配额限制集群中一个节点对应一条路由表项，VPC默认情况下仅支持200...

policy-template-controller

组件介绍 policy-template-controller组件是为实现新版容器安全策略管理功能而开发的K8s控制器，能帮助您更好地管理基于模板部署的策略实例和集群的整体治理状态。更多信息，请参见配置容器安全策略（新版）。使用说明关于policy-...

漏洞CVE-2021-25748公告

更多信息，请参见配置容器安全策略（新版）和 容器安全策略规则库说明。止血方案3 您需要及时限制非管理员用户创建和修改Ingress实例的权限。修复方案您可以关注Nginx Ingress Controller组件发布公告，及时升级该组件。更多该组件发布...

漏洞CVE-2021-25746公告

更多信息，请参见配置容器安全策略（新版）和 容器安全策略规则库说明。止血方案3 您需要及时收敛非管理员用户创建和修改Ingress实例的权限。修复方案您可以关注Nginx Ingress Controller组件发布公告，及时升级该组件。更多该组件发布...

云边通信组件Raven概述

为了解决上述问题，v1.26.3及以上版本的 ACK Edge集群提供了Raven组件，以实现云边运维以及容器网络通信。工作原理以下图为例，列出了典型的云边协同场景。节点池A：云节点池。所有节点在一个VPC内，选择一个主机作为网关节点（图例为...

构建混合弹性容器集群（弹性ECS）

关于云上容器网络插件的使用，建议您使用对应云平台定制化的网络组件，阿里云容器平台统一使用Terway网络组件进行容器网络的管理。混合集群组网模式如下图所示。您在本地数据中心内的私网网段为192.168.0.0/24，容器网络网段为10.100.0.0/...

DNS FAQ

解决方案可以使用 nsenter 的方式访问CoreDNS Pod所处的容器网络环境。具体操作，请参见检查CoreDNS Pod的网络连通性。如果您需要查看CoreDNS日志，可以启用CoreDNS日志分析与监控能力。具体操作，请参见分析和监控CoreDNS日志。为什么...

DescribePolicies-查询策略治理规则库列表

ACK集群容器安全策略供了种类丰富的内置规则库，包括Compliance、Infra、K8s-general和PSP，旨在确保容器在生产环境中的安全运行。您可以调用DescribePolicies接口，查询策略治理规则库的列表。调试您可以在OpenAPI Explorer中直接运行该...

运行DPDK类型的应用

前提条件 DPDK（Data Plane Development Kit）应用依赖于Terway独占ENI模式来运行，该模式需要在配额中心申请 容器网络支持Terway ENI独占模式白名单使用。创建Terway独占ENI类型的集群以下操作均需登录容器服务管理控制台进行操作...

漏洞CVE-2024-21626公告

runc社区披露了高危安全漏洞CVE-...使用使用容器镜像加签和使用kritis-validation-hook组件实现自动验证容器镜像签名功能，确保部署容器应用镜像的安全完整性。如果您的集群类型为 ACK Edge集群，解决方案请参见 CVE-2024-21626修复方案。

漏洞CVE-2023-2727和CVE-2023-2728公告

漏洞CVE-2023-2727：攻击者可以利用kube-apiserver中原生ImagePolicyWebhook准入插件的漏洞，通过部署临时容器（ephemeral containers），绕过对启动容器中使用的镜像的安全校验。该漏洞被评估为中危漏洞，在CVSS的评分为 6.5。漏洞CVE-...

配置容器安全策略

借助ACK集群引入的Gatekeeper组件，您可以在容器服务控制台启用或自定义安全策略，验证Pod的部署和更新是否安全可控。策略治理介绍 PodSecurityPolicy（简称PSP）从Kubenetes 1.21版本开始被标记为弃用（Deprecated）状态。为此，ACK集群...

CoreDNS自动升级

本文介绍CoreDNS升级前的检查和优化操作，以及自动升级的步骤。前提条件已通过kubectl工具连接集群。具体操作，请参见获取集群...相关文档 In IPVS mode,kube-proxy doesn't handle graceful termination of UDP flows CoreDNS 容器网络FAQ

安全沙箱的NAS直挂

安全容器提供了安全沙箱NAS直挂的功能。该功能会先卸载主机上的NAS挂载点，然后在GuestOS内挂载NAS，最后把NAS bind mount到容器内，从而能够在容器内直接读写NAS，达到接近原生的性能。实现原理实现安全沙箱的NAS直挂功能的流程说明如下...

基线检查

标准策略企业版旗舰版该类型策略包含120+基线检查项，支持以下基线类型：Windows基线未授权访问等保合规最佳安全实践基础防护安全实践国际通用安全最佳实践弱口令 Linux基线未授权访问等保合规最佳安全实践 容器安全 国际通用...

CoreDNS手动升级

如果您在容器服务ACK控制台的组件管理页面CoreDNS组件上无法看到升级按钮，且当前组件版本较低，说明您的集群无法进行CoreDNS的...相关文档 In IPVS mode,kube-proxy doesn't handle graceful termination of UDP flows CoreDNS 容器网络FAQ

容器主动防御

容器防逃逸容器场景中由于容器与宿主服务器共享操作系统内核（安全容器除外），攻击者可利用容器漏洞提升权限实现对宿主服务器系统或其他容器的访问控制，影响整个系统安全性。通过配置容器防逃逸规则您可以有效阻断逃逸行为，保障容器...

FindContainerNetworkConnect-查询容器网络连接信息

获取两个节点间网络连接的信息。调试您可以在OpenAPI Explorer中直接运行该接口，免去您计算签名的困扰。运行成功后，OpenAPI Explorer可以自动生成SDK代码示例。调试授权信息下表是API对应的授权信息，可以在RAM权限策略语句的 Action ...

升级安全沙箱运行时

使用限制仅当您的集群为安全容器集群时，才可以使用容器运行时升级功能。注意事项运行时升级需要节点具备公网访问能力，以便下载升级所需的软件包。运行时升级过程中，可能会有升级失败的情况，为了您的数据安全，强烈建议您先打快照...

容器资产全景

背景信息云安全中心会每分钟自动刷新容器资产全景页面的容器网络拓扑图和集群的安全风险信息，以确保您查看到最新的网络拓扑图和安全风险信息。版本限制仅云安全中心的旗舰版支持该功能，其他版本不支持。购买和升级云安全中心服务的...

容器网络FAQ

ACK容器网络数据链路 ACK容器网络数据链路（Flannel）ACK容器网络数据链路（Terway ENI）ACK容器网络数据链路（Terway ENIIP）ACK容器网络数据链路（Terway IPVLAN+Terway）ACK容器网络数据链路（Terway ENI-Trunking）ACK容器网络数据链路...

容器网络安全

新品推荐