云容器引擎提供了CTyunOS的等保2.0标准三级版操作系统镜像,该版本操作系统镜像实现了国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分三级安全要求,其中主要安全加固模块有:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范。用户可以为节点池的工作节点选择实现了等保加固的CTyunOS操作系统。
使用方式
开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。
新建节点池选择CTyunOS加固版操作系统镜像并扩容。
升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像。
使用须知
CTyunOS等保加固版本镜像实现了《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的大部分第三级安全要求,但这并不代表该加固版操作系统可以确保通过第三方的操作系统等保加固标准测试,相关通过标准和风险需要用户自行评估。
如需禁用root通过ssh登录并创建管理员账号进行系统管理请用户运行/root/extra_enhance.py文件按指引执行。
部分未执行的加固项需要用户根据实际需求自行完成,详细见/root/extra_enhance.py文件输出。
虽然等保加固版本的操作系统在性能上与普通版本的操作系统没有显著差距,但是加固项的引入会增加后期用户的维护成本(如密码管理、文件权限管理、日志审计等),因此,如无特殊需要仍建议用户使用普通版本CTyunOS镜像。
使用步骤
开通新集群在节点池订购页面选择CTyunOS加固版操作系统镜像。
开通新集群时可在节点池订购页面的操作系统配置选项中选择带有“Cybersecurity”字段版本号的CTyunOS操作系统,其中CTyunOS-23.01-Cybersecurity-x86_64(aarch64)为CTyunOS-23.01-x86_64(aarch64)操作系统的等保加固版本镜像,CTyunOS-2.0.1-Cybersecurity-x86_64(aarch64)为CTyunOS-2.0.1-x86_64(aarch64)操作系统的等保加固版本镜像,开通新集群的步骤参见:订购集群。
新建节点池选择CTyunOS加固版操作系统镜像并扩容
新建节点池时也可以在操作系统配置项处为节点池选择等保加固版本的操作系统,版本对应关系如前面所述, 新建节点池步骤参见节点池管理,节点池扩容步骤参见扩缩容节点池。
升级节点池功能中勾选更换操作系统并选择加固版操作系统镜像
节点池升级功能支持操作系统版本和类型的更换,可以通过勾选更换节点池的操作系统选项并选择使用等保加固版本的CTyunOS操作系统,版本对应关系如前所述,升级和更换操作系统的操作步骤参见操作系统升级中有关升级节点池操作系统相关内容。
关于升级或更换节点池操作系统的特别说明
升级节点池中的更换节点池操作系统功能通过节点重置方式实现,关于升级节点池、节点重置注意事项如下:
重置节点将对节点操作系统进行重置安装,节点上已运行的工作负载业务将会中断,请在业务低峰期操作。
节点重置后系统盘,挂载kubelet、containerd的数据盘将会被清空,重置前请事先备份重要数据。
用户节点如果有自行挂载了数据盘,重置完后会清除挂载信息,请事先备份重要数据,重置完成后请重新执行挂载行为,数据不会丢失。
节点上的工作负载实例的IP会发生变化,但是不影响容器网络通信。
操作过程中,后台会把当前节点设置为不可调度状态。
节点重置会清除用户单独添加的 K8S 标签和污点(通过节点池编辑功能添加的标签、污点不会丢失),可能导致与节点有绑定关系的资源(本地存储,指定调度节点的负载等)无法正常使用。请谨慎操作,避免对运行中的业务造成影响。
重置节点会导致与节点关联的local-pv类型的PVC/PV数据丢失,无法恢复,且PVC/PV无法再正常使用。重置节点时使用了本地持久存储卷的Pod会从重置的节点上驱逐,并重新创建Pod,Pod会一直处于
pending状态,因为Pod使用的PVC带有节点标签,由于冲突无法调度成功。节点重置完成后,Pod可能调度到重置好的节点上,此时Pod会一直处于creating状态,因为PVC对应的底层逻辑卷已经不存在了。
重置节点使用的相关配置是节点所在节点池的最新配置。
