防范措施 对于此次漏洞的跨集群攻击场景,ACK集群使用了独立签发的CA,同时不同集群间认证凭据完全隔离。对于集群内跨节点的攻击,建议您采取以下安全防范措施:开启集群kube-apiserver审计日志,如果下列资源模型请求的请求响应码在300~...
ManagedKubernetes:ACK 托管类的集群,包括 ACK 托管集群(ACK 集群 Pro 版、ACK 集群基础版)、ACK Serverless 集群(Pro 版、基础版)、ACK Edge 集群(Pro 版、基础版)、ACK 灵骏集群(Pro 版)。ExternalKubernetes:注册集群。...
ManagedKubernetes:ACK 托管类的集群,包括 ACK 托管集群(ACK 集群 Pro 版、ACK 集群基础版)、ACK Serverless 集群(Pro 版、基础版)、ACK Edge 集群(Pro 版、基础版)、ACK 灵骏集群(Pro 版)。ExternalKubernetes:注册集群。...
ManagedKubernetes:ACK 托管类的集群,包括 ACK 托管集群(ACK 集群 Pro 版、ACK 集群基础版)、ACK Serverless 集群(Pro 版、基础版)、ACK Edge 集群(Pro 版、基础版)、ACK 灵骏集群(Pro 版)。ExternalKubernetes:注册集群。...
ENABLE-SWITCH-TYPE_50868:Linux 植入可疑文件 USER-ENABLE-SWITCH-TYPE_64025:Linux 入口服务执行命令[增强模式]USER-ENABLE-SWITCH-TYPE_51229:Windows 浏览器服务执行高危操作 USER-ENABLE-SWITCH-TYPE_51230:Windows 入口服务执行...
通过正确配置Pod安全策略以加固集群的安全性,防止集群成为攻击者利用的目标。防止进程逃离容器边界并获得权限 作为使用Kubernetes的开发或者运维人员,您需要重点关注如何防止在容器中运行的进程逃离容器的隔离边界并获得对宿主机的访问...
使用Alibaba Cloud Linux 2作为集群节点系统镜像 您可以在创建集群的配置过程中,将 操作系统 选择为 Alibaba Cloud Linux 2.1903 来使用Alibaba Cloud Linux 2作为集群节点系统镜像。具体步骤,请参见 通过OpenAPI创建Kubernetes托管版...
全部 创建集群 ACK Serverless支持集群故障诊断和集群巡检 ACK Serverless集群 巡检可以定时扫描集群运行状况,发现集群中潜在的风险,如云资源配额余量、Kuberrnetes集群关键资源水位等。ACK Serverless集群 故障诊断包括Pod诊断、网络...
全部 热迁移ACK标准版集群至ACK Pro版集群 集群访问SLB支持选择规格 集群创建时API Server访问的入口SLB实例已支持自选规格,您可根据自身需求选择不同规格的SLB实例,满足对API Server的不同访问压力。全部 创建ACK Pro版集群 节点池支持...
定期运行基线检查以验证集群是否符合 阿里云OS加固 和等保加固标准 阿里云OS加固 对于集群节点宿主机OS系统,阿里云OS加固 功能提供了对应的加固标准,提供的操作系统包括Alibaba Cloud Linux、CentOS、Ubuntu等。Alibaba Cloud Linux 3...
TDX介绍 Intel ® TDX是一项基于CPU硬件的云服务器ECS保护技术,TDX实例的CPU寄存器、内存数据、中断处理等均受到CPU硬件的机密保护,云厂商和外部攻击者均无法监控或篡改TDX实例的内部运行状态(如运行的进程、计算中的敏感数据等)。...
全部 创建节点池 ACK新配额管理 ACK加强配额展示和申请功能,细化增加了ACK托管集群、ACK专有集群、ACK Serverless集群、ACK Edge集群、注册集群等各项配额在控制台的展示以及在配额中心的申请入口。全部 使用限制 ACK Serverless集群 支持...
背景信息 KMS硬件密钥管理实例可以对客户端应用或云产品服务端数据进行加密,避免文件或敏感数据(用户手机号码、身份证号、银行卡号等)被攻击或者在传输过程中被泄露。通过KMS实例连接加密服务密码机集群的方式,具有以下优势:降低使用...
全部 migrate-controller 分布式云容器平台 ACK One 支持多集群网关 ACK One通过托管MSE Ingress Controller,将MSE云原生网关作为多集群网关,并基于 MSE Ingress 以Ingress的方式提供多集群南北向流量的管理,从而快速实现同城应用多活容...
集群信息 在 集群信息 页签,您可以查看该集群的集群 名称、集群类型 等集群基本信息,还可查看该集群中包含的 命名空间、容器组、节点、应用 和 镜像 的数量。集群风险 在 集群风险 页签,您可以查看该集群存在的 安全告警、基线风险、...
调度器节点主机名 本地集群中部署了调度器的节点的主机名称。账号系统 本地集群中域账号服务的类型。本地集群域名 本地集群的域名。账号节点IP 本地集群中部署了域账号服务的节点的IP地址。账号节点主机名 本地集群中部署了域账号服务的...
使用Alibaba Cloud Linux 3作为集群节点系统镜像 您可以在创建集群的配置过程中,将 操作系统 选择为 Alibaba Cloud Linux 3.2104 来使用Alibaba Cloud Linux 3作为集群节点系统镜像。具体步骤,请参见 创建Kubernetes托管版集群、创建...
使用限制 仅适用于Linux集群。仅适用于云上集群,不支持混合云集群。配置集群巡检 登录 弹性高性能计算控制台。在顶部菜单栏左上角处,选择地域。在左侧导航栏,选择 运维与监控>集群巡检。在集群列表中选择目标集群,然后单击 创建巡检。...
集群节点内核版本高于4.6的不同操作系统的Linux发行版均在此次漏洞的影响范围内,包括:Ubuntu Bionic(18.04)and newer Debian 9 Debian 10 CentOS 8/RHEL 8 对于容器服务ACK集群:如果您的集群节点操作系统选择的是Alibaba Cloud Linux 2...
集群报表可以展示某一时间段集群的使用情况,包括用户使用量、队列使用量、作业列表等,便于您直观了解集群整体情况,及时调整集群规模和作业任务。前提条件 集群的状态为 运行中。集群中的作业已运行1小时以上。使用限制 仅支持使用PBS和...
创建集群后您可以登录集群进行相关操作,本文为您介绍使用控制台和第三方工具登录集群。前提条件 已创建用户。具体操作,请参见 用户管理。已为集群登录节点分配固定公网IP或绑定EIP。登录节点状态为 运行中。登录节点所在的安全组已放行对...
SET_REPLACE setsockopt时存在堆越界写入漏洞,该漏洞将允许本地用户通过用户名空间获取权限提升,该漏洞在KCTF中被用于攻击Kubernetes集群中的Pod容器,从而导致实现虚拟化逃逸。该漏洞已在Linux内核中存在15年。更多说明请参见 Linux:...
索引 注意事项 场景一:请求转发至ACK或ACK Serverless集群内多个Service 场景二:请求同时转发至ACK或ACK Serverless集群内Pod及集群外ECS 场景三:请求转发至集群内Pod以及集群外跨地域VPC上的ECS 场景四:请求转发至集群内Pod及本地IDC...
使用Linux的IPVS模块时,IPVS会默认启用其estimation功能,当服务器规格较大且Service数量多时(例如,容器Kubernetes大规模集群场景),该功能可能导致服务端的网络请求出现几十到上百毫秒的延时或引起网络抖动。Alibaba Cloud Linux镜像...
通过与集群主节点建立SSH连接,您可以使用终端上的Linux命令来管理和与集群进行交互操作。此外,您还可以使用SSH连接创建隧道,以便通过Web浏览器查看开源组件的Web页面。本文为您介绍如何在Windows和Linux环境中使用SSH方式(SSH密钥对或...
集群指运行高性能计算的节点集合,可以提供单节点不能提供的强大计算能力,拥有高性能、弹性扩展、稳定可靠等优点。本文介绍集群涉及的基本概念和功能。节点 E-HPC集群中的每个节点是一台ECS实例。按节点功能分类,可以分为登录节点、管控...
ACK Serverless集群 默认会将所有工作负载调度到x86架构的虚拟节点。如果您的集群中既有Arm虚拟节点,又有非Arm虚拟节点(例如x86虚拟节点),为了确保只兼容Arm架构的工作负载调度到Arm虚拟节点,或多架构镜像优先调度到Arm虚拟节点,您...
ACK集群 默认会将所有工作负载调度到x86架构的虚拟节点。如果您的集群中既有Arm虚拟节点,又有非Arm虚拟节点(例如x86虚拟节点),为了确保只兼容Arm架构的工作负载调度到Arm虚拟节点,或多架构镜像优先调度到Arm虚拟节点,您可以基于...
背景信息 创建集群时,如果打开 Kerberos身份认证 开关,则创建的集群为高安全集群,可以使用E-MapReduce(简称EMR)提供的高安全特性。在高安全集群中YARN服务默认开启了以下特性,对使用行为做了一定的限制,来保证集群的数据安全:...
注意事项 为了保证控制面的稳定性,当前仅 ACK集群Pro版、ACK Serverless集群Pro版、ACK Edge集群Pro版、ACK灵骏集群 支持自定义部分控制面核心组件参数。支持自定义的参数,请参见 默认参数列表,具体请以控制台界面为准。修改参数之后,...
注意事项 为了保证控制面的稳定性,当前仅 ACK集群Pro版、ACK Serverless集群Pro版、ACK Edge集群Pro版、ACK灵骏集群 支持自定义部分控制面核心组件参数。支持自定义的参数,请参见 默认参数列表,具体请以控制台界面为准。修改参数之后,...
注意事项 为了保证控制面的稳定性,当前仅 ACK集群Pro版、ACK Serverless集群Pro版、ACK Edge集群Pro版、ACK灵骏集群 支持自定义部分控制面核心组件参数。支持自定义的参数,请参见 默认参数列表,具体请以控制台界面为准。修改参数之后,...
注意事项 为了保证控制面的稳定性,当前仅 ACK集群Pro版、ACK Serverless集群Pro版、ACK Edge集群Pro版、ACK灵骏集群 支持自定义部分控制面核心组件参数。支持自定义的参数,请参见 默认参数列表,具体请以控制台界面为准。修改参数之后,...
安全漏洞介绍 Alibaba Cloud Linux 3系统支持x86处理器与arm64处理器,这两类处理器在CPU安全漏洞的处理上有一定区别,下面分别介绍Alibaba Cloud Linux 3系统中x86与arm64的安全漏洞详情,以及如何通过启动命令行(boot cmdline)关闭安全...
使用集群审计功能 在Kubernetes集群中,API Server的审计日志可以帮助集群管理人员记录或追溯不同用户的日常操作,是集群安全运维中重要的环节。关于通过日志服务收集、分析审计日志、为审计日志设置自定义的告警规则、关闭集群审计功能,...
ContainerOS是一种轻量级的Linux发行版,专门用于运行容器应用,并且尽可能减少非必要的软件包以降低攻击面和提高性能。前提条件 已创建 容器服务 Kubernetes 版 集群,容器运行时为containerd,且Kubernetes版本为1.24.6及以上。关于创建...
Alibaba Cloud Linux 2将于 2024年03月31日00:00:00 完全停止维护(EOL)。CentOS 7将于 2024年06月30日00:00:00 完全停止维护(EOL)。为了获得快速高效的技术支持和保障业务稳定,建议您使用操作系统Alibaba Cloud Linux 3或ContainerOS...
边缘托管集群中至少有一个云服务器ECS(Elastic Compute Service)作为云端节点,用于部署云端管控应用。本文介绍边缘云端ECS节点的作用,以及如何新增云端节点。边缘计算云端管控节点 在边缘托管集群创建过程中,平台会默认为您创建至少...
如果您的业务对调度器版本没有特殊要求,建议选择最新的Slurm调度器版本来创建集群。当前E-HPC支持的Slurm调度器最新版本为slurm22。如何进行实名认证以购买中国内地地域云产品服务?如果您需要购买和使用中国内地地域的云产品服务,例如...
以上未提到的配置,请在集群升配页面或者降配页面进行查验,详情请参见 升配集群 和 降配集群。ES购买页的版本具体对应的是哪个版本?购买页版本 具体版本 8.9 8.9.1 8.5 8.5.1 7.16 7.16.2 7.10 7.10.0 7.7 7.7.1 6.8 6.8.6 6.7 6.7.0 6.3...