防火墙规则定时启用/禁用

对于云上业务系统运维人员来说,配置管理一直是一个较为头疼的问题。由于云计算给系统运维带来的敏捷性,配置变更几乎每时每刻都在发生,如何记录这些配置变更,并能够做到少出错、不遗忘,是一个较大的难题。

场景一:有时为了调试云上的业务系统,需要临时放开防火墙规则的限制,在问题调试完成后,再将临时启用的规则禁用。有时候防火墙的管理者和业务系统的调试者并不是同一个人,这就存在着防火墙临时规则管理的漏洞,往往调试已经完成,但是忘记通知防火墙的管理者,而防火墙的管理者也不记得该条规则为什么开放,该条临时规则就会变成一直开放的规则,将业务系统暴露于风险之下。

为了应对上述场景,我们推出了防火墙规则定时启用/禁用的功能,您可以在定时器中管理防火墙的规则,实现“临时启用规则,定时禁用规则”的效果。

首先,创建一个定时器,仅执行一次,时间设置为防火墙规则的禁用时间。

然后,创建定时器任务,选择防火墙,并选择要禁用的规则。

最后,点击“提交”,查看创建好的任务。

只需这么简单的几步操作,防火墙的管理者就可以放心的将临时规则启用,不用再担心自己会忘记将临时规则禁用了。

场景二:有一个业务系统需要每天凌晨3点定时上报业务数据,该上报数据服务采用固定的端口,数据上报批量大约需运行1个多小时,在非上报数据时间,该上报数据端口需要关闭以保证服务安全。您只需要设置两个定时器,无需闹钟与熬夜即可轻松完成该项工作。

每天凌晨3点,启用数据上报端口。

每天凌晨5点,再将数据上报端口禁用。

本功能还有诸多场景等待您的挖掘!

新增防火墙规则导出导入功能

QingCloud 防火墙可以加强位于基础网络中的主机或路由器的安全性,您可以为防火墙添加上行/下行规则,以实现云上资源的访问安全。QingCloud 防火墙因为简单易用、功能强大灵活,一直以来是云上使用最为广泛的产品之一。为了方便您管理防火墙规则,QingCloud 防火墙具备跨区复制、规则备份/回滚、规则模板、IP/端口集合等功能,可以适应多种场景下的防火墙规则管理。近期,防火墙又迎来了一次功能升级,新增了防火墙规则的导入导出功能,您可以将一个帐号下的防火墙规则导出,再导入到您另一个帐号里的防火墙里,实现防火墙规则的跨帐号快速复制。

具体的操作流程如下:

1、在要导出的防火墙规则页面点击“更多操作”,在下拉菜单中点击“导出规则”

2、页面会自动下载包含有防火墙规则的 csv 文件,以 防火墙名称_(防火墙ID).csv 命名。

3、在另外要导入规则的防火墙规则页面点击“导入规则”

4、在弹出的导入规则对话框中,点击“上传文件”,选择包含有防火墙规则的 csv 文件

系统会识别 csv 文件中防火墙规则的条数,并与当前防火墙的规则进行比对检查。

5、对于不符合导入规范的规则,您可以点击“查看”进行检查

点击规则前的小问号,可以查看该条规则不符合的原因。

6、确认无误后,点击“继续导入”,将防火墙规则导入。原有的IP/端口集合,会自动创建新的IP/端口集合,并添加到防火墙规则上

7、导入后,点击“应用修改”,将防火墙规则应用到资源

请注意:规则导入为非覆盖式导入,与现有规则冲突或者重复的规则将不会导入成功,超出数量或不符合 [格式要求] 的规则将被舍弃。数字越小优先级越高,优先级取值范围 [1-100]。

【安全公告】远程桌面服务远程执行代码漏洞(CVE-2019-0708)

     微软官方发布紧急安全补丁,修复了 Windows 远程桌面服务的远程代码执行高危漏洞 CVE-2019-0708,该漏洞被称为“永恒之蓝”级别的漏洞,只要开启Windows远程桌面服务(RDP服务)即可被攻击。

漏洞描述:
     远程桌面协议(RDP)远程代码执行漏洞。未经身份验证的攻击者利用该漏洞,向目标Windows主机发送恶意构造请求,可以在目标系统上执行任意代码。由于该漏洞存在于RDP协议的预身份验证阶段,因此漏洞利用无需进行用户交互操作。该漏洞存在被不法分子利用进行蠕虫攻击的可能。

漏洞评级:
CVE-2019-0708   【高危】

影响范围:
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows XP SP3 x86
Windows XP Professional x64 Edition SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64 Edition SP2
Windows 8和Windows 10及之后版本的用户不受此漏洞影响。

判断是否已经被入侵:
1. Win+R 快捷键运行 eventvwr.exe 然后回车。
2. 查看windows日志–>安全:浏览日志产生时间,观察是否存在大量或者非法的与登录相关的事件,如果已经被入侵,则系统可能遭到破坏被装上木马,建议重装系统。

检测以及修复漏洞:
可以选用360一键检测修复工具:
A.下载并打开360一键检测修复工具:
http://dl.360safe.com/leakfixer/360SysVulTerminator.exe
B.离线安装补丁:
操作系统版本及补丁下载链接:
Windows 7 x86:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows 7 x64:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Embedded Standard 7 for x64:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Embedded Standard 7 for x86:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows Server 2008 x64:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows Server 2008 Itanium:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu
Windows Server 2008 x86:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu
Windows Server 2008 R2 Itanium:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu
Windows Server 2008 R2 x64:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Server 2003 x86:
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe
Windows Server 2003 x64:
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe
Windows XP SP3:
http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe
Windows XP SP2 for x64:
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe
Windows XP SP3 for XPe:
http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe
WES09 and POSReady 2009:
http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/04/windowsxp-kb4500331-x86-embedded-chs_e3fceca22313ca5cdda811f49a606a6632b51c1c.exe

参考资料:
https://cert.360.cn/warning/detail?id=0f64023e053a5753816ac129b5362607

青云QingCloud安全监控中心

KubeSphere 2.1.0 Release Notes

关于 KubeSphere 

KubeSphere® 是经 CNCF 认证的 Kubernetes 主流开源发行版之一,在 Kubernetes 之上提供多种以容器为资源载体的业务功能模块,如多租户管理、集群运维、应用管理、DevOps、微服务治理等功能。 KubeSphere® 初始安装请参考安装部署指南

2.1.0 更新详情列表

Installer 改进

Features

      • 核心组件解耦,可选装 DevOps、微服务治理(Service Mesh)、应用商店、日志、告警通知等模块

      • 增加 Grafana 可选安装组件,默认版本 5.2.4

      • Kubernetes 支持升级至 1.15.5,兼容 1.4.x 和 1.3.x

      • OpenPitrix 应用商店后端管理模块升级至 0.4.5

      • 升级日志采集组件 Fluent Bit 至 v1.3.2

      • 升级 DevOps 组件 Jenkins 至 v2.176.2

      • Istio 组件升级至 1.3.3

      • 组件高可用优化

应用商店

Features

      • 支持应用上传、审批、分类,提供内置应用仓库和应用

UPGRADE & ENHANCEMENT

      • 应用仓库(模板) 由 Global 级别调整至 企业空间(WorkSpace)

      • 支持企业空间管理员设置应用仓库

存储

Features

      • 支持 Dynamic Local Volume

      • 为 QingCloud 云平台块存储提供实时监控功能

UPGRADE & ENHANCEMENT

      • QingCloud CSI 插件适配 CSI 1.1.0,支持扩容、拓扑、创建/删除快照以及基于快照创建 pvc

BUG FIXES

      • 修复存储类型列表存储卷的显示错误

可观察性

Features

      • 对于将日志以文件形式保存在 Pod 挂盘上的应用,新增在 UI 上开启落盘日志收集功能

      • 支持对接 ElasticSearch 7.x

      • 支持中文日志检索

      • 支持 initContainer 日志的展示

      • 支持日志导出

      • 新增告警解除通知

UPGRADE & ENHANCEMENT

      • 优化日志检索速度

      • 优化日志服务异常时的提示信息

      • 优化监控数据请求异常时的返回信息

      • 增加 Prometheus Pod 反亲和性

BUG FIXES

      • 修复日志搜索高亮文字不正确的问题

      • 修复日志搜索不能正确匹配短语

      • 修复按工作负载名搜索日志时,无法查询到已删除工作负载的日志

      • 修复日志高亮时,显示结果被截断

      • 修复部分指标异常:节点 inode 、最大 pod 容纳量指标

      • 修复告警目标数量错误的问题

      • 修复多指标监控的过滤失效问题

      • 修复自定义污点节点无日志、监控信息的问题(调整了 node-exporter、fluent-bit 的 Toleration 属性,默认将部署在所有节点上,忽略节点污点)

DevOps

Features

      • S2I 支持切换分支和 git 日志的输出

      • B2I(Binary To Image),支持将 Linux Binary/war/jar 三种交付物一键构建镜像

      • 为流水线、S2I、B2I 提供代码依赖缓存支持

      • 流水线部署步骤支持删除 Kubernetes 资源

      • 多分支流水线支持在分支创建/删除时触发其他流水线运行

UPGRADE & ENHANCEMENT

      • 流水线增加支持 bitbucket

      • 支持流水线 cron 脚本验证

      • 支持 Jenkinsfile 语法校验

      • 支持 SonarQube 自定义链接

      • 支持流水线事件触发构建

      • 优化流水线 Agent 节点选择

      • 减少流水线启动速度

      • 使用动态卷作为流水线 Agent 的工作目录,并贡献给社区#589

      • 优化 Jenkins kubernetesDeploy 插件,新增更多资源和版本(v1、apps/v1、extensions/v1beta1、apps/v1beta2、apps/v1beta1、autoscaling/v1、autoscaling/v2beta1、autoscaling/v2beta2、networking.k8s.io/v1、batch/v1beta1、batch/v2alpha1),并贡献给社区#600#614
      • 流水线部署步骤新增 PV、PVC、Network Policy 支持,并贡献给社区#87#88

BUG FIXES

      • 修复github webhook 400 bad request问题

      • 不兼容改动:DevOps webhook的URL前缀由/webhook/xxx 变更为 /devops_webhook/xxx

认证和权限

Features

      • 支持AD账户同步、认证

UPGRADE & ENHANCEMENT

      • 降低 ldap 组件的内存使用量

      • 加入防范暴力破解的保护机制

BUG FIXES

      • 修复 ldap 连接池泄漏的问题

      • 修复企业空间无法添加用户的问题

      • 修复敏感数据传输泄露的问题

用户体验

Features

      • 向导式纳管未分配到企业空间中的项目(namespace)

UPGRADE & ENHANCEMENT

      • web kubectl 支持 bash-completion
      • 主机信息展示优化

      • 新增邮件服务器测试功能

      • 资源列表页新增帮助提示

      • 优化项目概览页和项目基本信息

      • 优化服务创建流程

      • 优化工作负载创建流程

      • 新增资源列表状态实时更新

      • 优化 yaml 编辑功能

      • 支持镜像检索和镜像信息展示

      • 工作负载页面增加 pod 列表

      • 更新网页终端页面主题

      • 容器终端增加容器切换功能

      • 优化 pod 信息展示并新增 pod 调度信息

      • 更详细的工作负载状态展示

BUG FIXES

    • 修复项目默认请求资源显示错误的问题

    • 修复网页终端路径过深的问题

    • 修复 Pod 状态更新不及时的问题

    • 修复无法基于角色搜索主机的问题

    • 修复企业空间详情页 DevOps 工程数量错误的问题

    • 修复企业空间列表页翻页后还显示当前页的问题

    • 修复企业空间列表页进行查询检索后结果排序不一致的问题

安装指南

一键部署 QKE,快速拥有生产级 KubeSphere 

Release Notes 参考链接

QingStor 对象存储支持跨区域复制

 

为了让用户更好的对内容进行管理,同时满足多场景下的使用需求。QingStor 对象存储现已支持跨区域复制服务。

一、功能概述

跨区域复制 (Bucket Cross-Region Replication) 提供跨不同 QingStor 对象存储区域(数据中心)的 Bucket 对象自动异步复制功能。开启此功能后,源 Bucket 中对象的新建、更新和删除等操作会同步到目标 Bucket。目标 Bucket 中的对象是源 Bucket 中对象的精确副本,它们具有相同的对象名、元数据及数据实体,比如创建时间、所有者、自定义元数据等。

 

二、核心使用场景

数据备份与容灾:用户对数据的安全性和可用性有极高要求,当某个可用区数据中心因不可抗因素(如地震、海啸等)损毁时,另一个可用区的数据中心仍然可以提供副本数据和对应的服务。

最大限度减少延迟:如果客户处于两个不同的地理位置,可以在地理位置与用户较近的 QingStor 对象存储区域中维护对象副本,从而最大限度缩短访问对象时的延迟。

合规性要求:QingStor对象存储默认为存储的对象数据保存多个副本,但某些行业的合规性要求规定数据需要在不同存储地域间保存多份副本。通过跨区域复制,可以实现在不同存储地域间自动复制数据以满足行业合规性要求。

数据迁移:因业务需要,需将数据从一个数据中心迁移到异地的数据中心内。

提高操作效率:在异地的不同数据中心具有分析同一组对象的计算集群,可能选择在这些区域中维护对象副本。

 

三、操作步骤

1、添加规则

登录 QingCloud 控制台,进入「对象存储」-「对应Bucket」-「设置」,点击“开启跨区域复制”按钮,在弹出的页面中输入跨区域复制的具体规则。

    • 源Bucket:当前所在的Bucket。
    • 目标Bucket:选择目标 Bucket 所在的地域和对应的 Bucket。源和目的 Bucket 必须分属两个不同地域。
    • 复制范围:可选择 Bucket 内所有对象,也可选择指定前缀的对象数据。
    • 存储级别:可选择复制到目标 Bucket 中所使用的存储级别,标准存储或者低频存储。
    • 同步删除操作:如果选择”是“,用户在删除源 Bucket 中的数据时,目标 Bucket 中对应的的数据也会被删除。
    • 同步历史数据:用户可以选择是否将创建跨区域复制规则之前源 Bucket 中已有的数据进行复制。

2、修改规则

点击现有规则中相应的参数项,选择需要修改的内容。如下图:

3、删除规则

点击现有规则中的「全局状态」参数项,选择「删除」并确认,即可删除当前的跨区域复制规则。如下图:

 

QingMR 大数据服务全新升级,支持 Flink 流式计算

为更好的满足用户对 QingMR 大数据服务功能的需求, 本次升级包括的更新如下:

QingMR:立即使用→
  • 新增对流式计算 Flink 1.9.0 的支持
  • 集群节点支持企业型主机,单节点最高支持 32核CPU 和 128G内存配置
  • 集群节点支持 SSD 企业型硬盘,单节点最高容量可达 2TB

至此,QingMR 大数据服务支持的功能如下:

  • Hadoop 分布式文件系统 HDFS
  • 集群资源管理系统 YARN
  • 数据处理框架 Hadoop MapReduce, Spark 和 Flink
  • 数据仓库工具 Hive
  • 海量数据 OLAP 分析引擎 Kylin 的企业级产品 Kyligence Analytics Platform
  • Hadoop MapReduce , Spark 和 Hive 与 QingStor 对象存储集成,无缝读写海量数据
  • 支持设置 Hadoop proxyuser
  • Spark 支持 Standalone 和 YARN 两种模式
  • 支持上传自定义的 Spark 应用内调度器和 YARN 调度器
  • 支持基于 Spark 的分布式深度学习框架 BigDL
  • 支持 Flink YARN cluster 和 Standalone Flink job on YARN
  • Hive 支持 MapReduce 和 Spark 两种执行引擎
  • 支持 Python 及 Anaconda 发行版的数据科学包并可在 Python2 和 Python3 之间切换
  • 支持 R 语言

更多详细使用指南请参考:QingMR 用户指南

AppCenter 支持新计费模式&新增主机类型等新功能上线

AppCenter2.0开发框架为更好支持各应用开发用户的需求,此次更新包含如下功能:

  • 支持数据库扩容与升级时可按照一定顺序进行扩容
  • 新增支持企业型e2新主机类型(202
  • 优化扩容时差价计算方式
  • 支持新计费模式,采用合约计费方式,支持选择1个月、3个月、6个月、1年、2年、3年、4年、5年合约有效期
  • 优化QingCloud MySQL Plus、深度学习新版本的 CPU/内存规格配置 

DeepLearning 深度学习平台全新升级 支持多产品系列 & 新合约计费模式

为了提高用户使用体验和提供更多的优惠,青云QingCloud 深度学习平台全新升级,推出入门版、基础版、企业版三种版本,在离线训练、临时测试、算法验证以及 AI 框架学习等场景中较适于按需付费模式,而在生产环境稳定训练需求和在线训练等场景中使用包月、包年模式成本更低,为用户提供更加全面和灵活的成本管理支持。具体新增功能如下:立即使用→

 

入门版

 

  搭载第二代英特尔®至强®可扩展处理器,通过 DL Boosting 的 VNNI 技术及 Intel 优化的深度学习框架( TensorFlow、Caffe、PyTorch 等),在图像分类、图像目标检测、自然语言处理、推荐系统及强化学习等深度学习的性能大幅提升。

入门版预装英特尔针对 CPU 优化过的 Caffe ( Intel 1.1 ) 、TensorFlow ( 1.12.0 )、Keras ( 2.2.4 )、PyTorch ( 1.1.0 ) 最新深度学习框架。

 

基础版

 

搭载 AMD GPU,在提供云主机灵活性的同时,提供优秀的性能体验和超高的性价比,在深度学习训练、推理等方面都能表现出优秀的计算优势。AMD GPU 对主流深度学习框架的支持给用户提供了更具性价比的选择。

AMD GPU 目前支持的深度学习框架有 TensorFlow , Pytorch , Caffe , 并将支持 MXNet。基础版预装了 TensorFlow 1.14.0、Keras 2.2.4,PyTorch 1.2.0 最新深度学习框架。

 

企业版

 

搭载 NVIDIA GPU,在提供云主机弹性特性的同时,提供极致的性能体验,能够为用户提供超高的计算能力,在深度学习训练、推理等方面都能表现出强大的计算优势。

企业版预装 Caffe ( BVLC 1.0 )、TensorFlow ( 1.12.0 )、Keras ( 2.2.4 ) 、PyTorch ( 1.1.0 )  最新深度学习框架。

 

 

 

 

 

Redis Standalone 新增 Region 多可用区部署,支持同城多活等功能

为更好的满足用户对 Redis Standalone 缓存服务功能的需求, 本次升级包括的更新如下:

Redis  Standalone:立即使用→
  • 升级到 Redis 5.0.5
  • 新增支持自助查看和下载日志文件
  • 支持 Region 多可用区部署,同城多活
  • 关闭 OpenSSH Server 服务以提高安全性
  • 提升三节点集群主从切换稳定性
  • 优化日志轮转,节省硬盘空间
  • 增加新主机类型供用户选择
  • 增加切换单双核 CPU 的选项

更多详细使用指南请参考:Redis Standalone on QingCloud 用户指南