博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Kubernetes重大漏洞?阿里云已第一时间全面修复
阅读量:5895 次
发布时间:2019-06-19

本文共 1436 字,大约阅读时间需要 4 分钟。

hot3.png

近日,Kubernetes社区发现安全漏洞 CVE-2018-1002105,阿里云容器服务已在第一时间完成全面修复,敬请广大用户登录阿里云控制台升级Kubernetes版本。

目前Kubernetes开发团队已经发布V1.10.11、V1.11.5修复补丁,阿里云容器服务也已在第一时间完成漏洞全面修复,用户登录阿里云控制台即可一键升级。

image

更多信息可以移步公告《》

漏洞发现后的措施

具体而言有一下几种情况供大家参考:

1 用户选用阿里云容器服务K8s

影响范围有限,阿里云容器服务ACK一直在推进和保障最小权限原则,默认开启了RBAC,通过主账号授权管理默认禁止了匿名用户访问。同时Kubelet 启动参数为”anonymous-auth=false”,提供了安全访问控制,防止外部入侵。对于使用子账号的多租户ACK集群用户,子账号访问Kubernetes,其账号可能通过Pod exec/attach/portforward越权。如果集群只有管理员用户,则无需过度担心。子账号在不经过主账号自定义授权的情况下默认不具有聚合API资源的访问权限。这些子账号用户请选择合适业务时间升级,进入控制台点击一键更新安全版本Kubernetes。

2 如果是完全自行搭建K8s

如果是在ECS上自建k8s的用户,请务必检查各项配置,如有失误,会引发较大安全风险。若用户在阿里云ECS服务器上自建Kubernetes集群,建议第一时间登录Kubernetes官网下载最新版,做好备份给节点打快照,并检查好配置、确保权限最小化,选择合适业务时间升级。

3 如果是在无服务器版本

无服务器版本Kubernetes在此之前已额外加固,用户不受此漏洞影响

更多关于阿里云容器服务

本次漏洞有限,阿里云容器服务Kubernetes采用了企业级的安全防护设计,为云上开发者省去了很多烦恼:

  • API Server配置默认禁止匿名访问
  • 容器集群采用VPC方案,网络环境全隔离
  • 用户可以选择在公网隐藏API Server
  • 默认子帐号没有访问集群资源的权限

此外,无服务器版本Kubernetes已提前加固,用户不受此漏洞影响。

去年11月,阿里云率先推出了Kubernetes管理服务,整合阿里云在虚拟化、存储、网络和安全能力的优势,提供多种应用发布方式和持续交付能力并支持微服务架构。用户可轻松创建、配置和管理虚拟机群集,在阿里云上部署和管理基于容器的应用程序。

为降低开发应用门槛,阿里云对Kubernetes能力进行了多重补充。比如,通过选择不同节点,实现异构计算集群支持深度学习等场景,或者云上一键部署集群,集成解决方案。

阿里云容器服务采用了高性能的神龙技术架构,资源利用率提升了3倍以上,同时融合以太网RDMA技术25Gb网络,相比自建性能可提高数倍。同时,阿里云还是业内首家提供ServiceMesh服务网格最佳实践及异地多活方案的云厂商。

安全是容器服务的重中之重。阿里云容器服务充分考虑了企业级的安全诉求,所有组件均提供双向证书验证,预制开启RBAC等鉴权能力,用户可以通过阿里云控制台可以安全地管理集群资源。

作为国内最大规模的公共云容器平台,阿里云已为西门子、新浪微博、国泰君安、小鹏汽车、安诺优达等数千多家企业提供容器服务,在全球十六个地域部署,支持公共云、专有云、政务云。

转载于:https://my.oschina.net/u/3827390/blog/2989980

你可能感兴趣的文章
jira 配置 LDAP 访问
查看>>
企业实践用户邮箱导入/导出(第2部分)
查看>>
我的友情链接
查看>>
如何学习Linux命令-初级篇
查看>>
从Oracle Public Yum为Oracle Linux建立本地的Yum源
查看>>
Android开发——09Google I/O之让Android UI性能更高效(1)
查看>>
在 SELECT 查询中使用表表达式
查看>>
静态路由和默认路由
查看>>
谈一谈Spring-Mybatis在多数据源配置上的坑
查看>>
2.1 shell语句
查看>>
【精益生产】车间现场管理的八大浪费
查看>>
springMVC国际化
查看>>
变频电源内部的元器件是有着什么样的发挥和作用
查看>>
关于阿里开发者招聘节 |这5道笔试真题 你会吗!???
查看>>
C#的异常处理机制
查看>>
vsftp:500 OOPS: could not bind listening IPv4 sock
查看>>
Linux安装BTCPayServer并设置比特币BTC和Lightning支付网关
查看>>
Python 的 with 语句
查看>>
mysql安装,远程连接,以及修改密码
查看>>
Mybatis查询返回Map类型数据
查看>>