华为云用户手册

EulerOS 2.9 内核版本 发布时间 发布说明 4.18.0-147.5.1.6.h1152.eulerosv2r9.x86_64 2024年4月 更新系统内核，修复安全漏洞。 4.18.0-147.5.1.6.h1071.eulerosv2r9.x86_64 2023年12月 更新系统内核，修复安全漏洞。 4.18.0-147.5.1.6.h1017.eulerosv2r9.x86_64 2023年6月 更新系统内核，修复安全漏洞。 修复IPVS模式下，EulerOS 2.9节点上升级CoreDNS后出现概率性解析超时的问题。 4.18.0-147.5.1.6.h841.eulerosv2r9.x86_64 2023年1月 更新系统内核，修复安全漏洞。 4.18.0-147.5.1.6.h766.eulerosv2r9.x86_64 2022年12月 更新系统内核，修复安全漏洞。

Huawei Cloud EulerOS 2.0（ARM） 内核版本 发布时间 发布说明 5.10.0-60.18.0.50.r1083_58.hce2.aarch64 2024年4月 更新系统内核，修复安全漏洞。 5.10.0-60.18.0.50.r1002_48.hce2.aarch64 2023年12月 更新系统内核，修复安全漏洞。 5.10.0-60.18.0.50.r865_35.hce2.aarch64 2023年4月 ARM架构节点支持Huawei Cloud EulerOS 2.0操作系统。

EulerOS 2.9（ARM） 内核版本 发布时间 发布说明 4.19.90-vhulk2103.1.0.h1144.eulerosv2r9.aarch64 2024年4月 更新系统内核，修复安全漏洞。 4.19.90-vhulk2103.1.0.h1060.eulerosv2r9.aarch64 2023年12月 更新系统内核，修复安全漏洞。 4.19.90-vhulk2103.1.0.h990.eulerosv2r9.aarch64 2023年6月 更新系统内核，修复安全漏洞。 修复IPVS模式下，EulerOS 2.9节点上升级CoreDNS后出现概率性解析超时的问题。 4.19.90-vhulk2103.1.0.h848.eulerosv2r9.aarch64 2023年1月 更新系统内核，修复安全漏洞。

Huawei Cloud EulerOS 2.0 内核版本 发布时间 发布说明 5.10.0-60.18.0.50.r1083_58.hce2.x86_64 2024年4月 更新系统内核，修复安全漏洞。 5.10.0-60.18.0.50.r1002_48.hce2.x86_64 2023年12月 更新系统内核，修复安全漏洞。 5.10.0-60.18.0.50.r865_35.hce2.x86_64 2023年4月 更新系统内核，修复安全漏洞。 5.10.0-60.18.0.50.r509_2.hce2.x86_64 2023年1月 更新系统内核，修复安全漏洞。 5.10.0-60.18.0.50.h322_1.hce2.x86_64 2022年11月 CCE支持Huawei Cloud EulerOS 2.0操作系统。

CCE集群弹性引擎版本发布记录 表1 v1.29集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.29.13 v1.29 支持v1.29集群 1.29.1 表2 v1.28集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.28.51 v1.28 优化节点池资源售罄告警逻辑 1.28.1 1.28.22 v1.28 修复部分问题 1.28.1 1.28.20 v1.28 修复部分问题 1.28.1 1.28.17 v1.28 解决存在自定义控制器类型的Pod时无法缩容的问题 1.28.1 表3 v1.27集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.27.84 v1.27 优化节点池资源售罄告警逻辑 1.27.1 1.27.55 v1.27 修复部分问题 1.27.1 1.27.53 v1.27 修复部分问题 1.27.1 1.27.51 v1.27 修复部分问题 1.27.1 1.27.18 v1.27 修复部分问题 1.27.1 1.27.16 v1.27 伸缩组支持配置节点上下限 1.27.1 1.27.14 v1.27 修复多规格情况下无法缩容和非预期PreferNoSchedule污点问题 1.27.1 1.27.11 v1.27 - 1.27.1 1.27.7 v1.27 适配CCE v1.27集群 优化异构设备(GPU/NPU)识别方法 1.27.1 表4 v1.25集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.25.116 v1.25 优化节点池资源售罄告警逻辑 1.25.0 1.25.88 v1.25 修复部分问题 1.25.0 1.25.86 v1.25 修复部分问题 1.25.0 1.25.84 v1.25 修复部分问题 1.25.0 1.25.50 v1.25 修复部分问题 1.25.0 1.25.48 v1.25 伸缩组支持配置节点上下限 1.25.0 1.25.46 v1.25 修复多规格情况下无法缩容和非预期PreferNoSchedule污点问题 1.25.0 1.25.43 v1.25 - 1.25.0 1.25.39 v1.25 - 1.25.0 1.25.34 v1.25 优化异构设备(GPU/NPU)识别方法 扩容节点数量超过集群规模时，使用集群支持的剩余节点数量进行扩容 1.25.0 1.25.21 v1.25 修复autoscaler伸缩策略least-waste默认未启用的问题 修复节点池扩容失败后无法未切换到其他节点池扩容且插件有重启动作的问题 默认污点容忍时长修改为60s 扩容规则禁用后仍然触发扩容 1.25.0 1.25.11 v1.25 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 修复伸缩组资源不足时无法正常修复节点池数量问题 1.25.0 1.25.7 v1.25 适配CCE v1.25集群 修改自定义规格的内存申请与限制 当没有开启弹性伸缩的节点池时上报无法伸缩的事件 修复NPU节点在扩容过程中会再次触发扩容的问题 1.25.0 表5 v1.23集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.23.121 v1.23 优化节点池资源售罄告警逻辑 1.23.0 1.23.95 v1.23 修复部分问题 1.23.0 1.23.93 v1.23 修复部分问题 1.23.0 1.23.91 v1.23 修复部分问题 1.23.0 1.23.57 v1.23 修复部分问题 1.23.0 1.23.56 v1.23 伸缩组支持配置节点上下限 修复配置节点AZ拓扑约束时，节点池弹性扩容后不符合预期问题 1.23.0 1.23.54 v1.23 修复多规格情况下无法缩容和非预期PreferNoSchedule污点问题 1.23.0 1.23.51 v1.23 - 1.23.0 1.23.47 v1.23 优化异构设备(GPU/NPU)识别方法 扩容节点数量超过集群规模时，使用集群支持的剩余节点数量进行扩容 1.23.0 1.23.44 v1.23 优化异构设备(GPU/NPU)识别方法 扩容节点数量超过集群规模时，使用集群支持的剩余节点数量进行扩容 1.23.0 1.23.31 v1.23 修复autoscaler伸缩策略least-waste默认未启用的问题 修复节点池扩容失败后无法未切换到其他节点池扩容且插件有重启动作的问题 默认污点容忍时长修改为60s 扩容规则禁用后仍然触发扩容 1.23.0 1.23.21 v1.23 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 修复伸缩组资源不足时无法正常修复节点池数量问题 1.23.0 1.23.17 v1.23 适配NPU和安全容器 节点伸缩策略支持不设置步长 bug修复，自动移除已删除的节点池 设置优先调度 注册EmptyDir调度策略 修复停用节点伸缩策略时，低于缩容阈值的节点未触发缩容的问题 修改自定义规格的内存申请与限制 当没有开启弹性伸缩的节点池时上报无法伸缩的事件 修复NPU节点在扩容过程中会再次触发扩容的问题 1.23.0 1.23.10 v1.23 日志优化 支持缩容等待，等待用户在节点删除前完成数据转储等操作 1.23.0 1.23.9 v1.23 新增nodenetworkconfigs.crd.yangtse.cni资源对象权限。 1.23.0 1.23.8 v1.23 修复周期性扩容场景下，单次扩容数量超过节点池上限，扩容失败问题。 1.23.0 1.23.7 v1.23 支持CCE分布式集群 1.23.0 1.23.3 v1.23 适配CCE v1.23集群 1.23.0 表6 v1.21集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.21.114 v1.21 优化节点池资源售罄告警逻辑 1.21.0 1.21.89 v1.21 修复部分问题 1.21.0 1.21.87 v1.21 修复部分问题 1.21.0 1.21.86 v1.21 修复配置节点AZ拓扑约束时，节点池弹性扩容后不符合预期问题 1.21.0 1.21.54 v1.21 修复部分问题 1.21.0 1.21.53 v1.21 伸缩组支持配置节点上下限 1.21.0 1.21.51 v1.21 修复多规格情况下无法缩容和非预期PreferNoSchedule污点问题 1.21.0 1.21.49 v1.21 - 1.21.0 1.21.45 v1.21 - 1.21.0 1.21.43 v1.21 优化异构设备(GPU/NPU)识别方法 扩容节点数量超过集群规模时，使用集群支持的剩余节点数量进行扩容 1.21.0 1.21.29 v1.21 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 修复伸缩组资源不足时无法正常修复节点池数量问题 修复节点池扩容失败后无法未切换到其他节点池扩容且插件有重启动作的问题 默认污点容忍时长修改为60s 扩容规则禁用后仍然触发扩容 1.21.0 1.21.20 v1.21 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 修复伸缩组资源不足时无法正常修复节点池数量问题 1.21.0 1.21.16 v1.21 适配NPU和安全容器 节点伸缩策略支持不设置步长 bug修复，自动移除已删除的节点池 设置优先调度 注册EmptyDir调度策略 修复停用节点伸缩策略时，低于缩容阈值的节点未触发缩容的问题 修改自定义规格的内存申请与限制 当没有开启弹性伸缩的节点池时上报无法伸缩的事件 修复NPU节点在扩容过程中会再次触发扩容的问题 1.21.0 1.21.9 v1.21 日志优化 支持缩容等待，等待用户在节点删除前完成数据转储等操作 1.21.0 1.21.8 v1.21 新增nodenetworkconfigs.crd.yangtse.cni资源对象权限 1.21.0 1.21.6 v1.21 修复插件请求重试场景下签名错误导致鉴权失败的问题 1.21.0 1.21.4 v1.21 修复插件请求重试场景下签名错误导致鉴权失败的问题 1.21.0 1.21.2 v1.21 修复未注册节点删除失败可能阻塞弹性伸缩的问题 1.21.0 1.21.1 v1.21 修复在已有的周期弹性伸缩规则里节点池修改不生效的问题。 1.21.0 表7 v1.19集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.19.76 v1.19 优化异构设备(GPU/NPU)识别方法 扩容节点数量超过集群规模时，使用集群支持的剩余节点数量进行扩容 1.19.0 1.19.56 v1.19 修复多规格情况下无法缩容和非预期PreferNoSchedule污点问题 1.19.0 1.19.54 v1.19 - 1.19.0 1.19.50 v1.19 - 1.19.0 1.19.48 v1.19 优化异构设备(GPU/NPU)识别方法 扩容节点数量超过集群规模时，使用集群支持的剩余节点数量进行扩容 1.19.0 1.19.35 v1.19 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 修复伸缩组资源不足时无法正常修复节点池数量问题 修复节点池扩容失败后无法未切换到其他节点池扩容且插件有重启动作的问题 默认污点容忍时长修改为60s 扩容规则禁用后仍然触发扩容 1.19.0 1.19.27 v1.19 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 修复伸缩组资源不足时无法正常修复节点池数量问题 1.19.0 1.19.22 v1.19 适配NPU和安全容器 节点伸缩策略支持不设置步长 bug修复，自动移除已删除的节点池 设置优先调度 注册EmptyDir调度策略 修复停用节点伸缩策略时，低于缩容阈值的节点未触发缩容的问题 修改自定义规格的内存申请与限制 当没有开启弹性伸缩的节点池时上报无法伸缩的事件 修复NPU节点在扩容过程中会再次触发扩容的问题 1.19.0 1.19.14 v1.19 日志优化 支持缩容等待，等待用户在节点删除前完成数据转储等操作 1.19.0 1.19.13 v1.19 修复周期性扩容场景下，单次扩容数量超过节点池上限，扩容失败问题 1.19.0 1.19.12 v1.19 修复插件请求重试场景下签名错误导致鉴权失败的问题 1.19.0 1.19.11 v1.19 修复插件请求重试场景下签名错误导致鉴权失败的问题 1.19.0 1.19.9 v1.19 修复未注册节点删除失败可能阻塞弹性伸缩的问题 1.19.0 1.19.8 v1.19 修复在已有的周期弹性伸缩规则里节点池修改不生效的问题。 1.19.0 1.19.7 v1.19 插件依赖例行升级。 1.19.0 1.19.6 v1.19 修复污点异步更新场景触发的重复扩容问题。 1.19.0 1.19.3 v1.19 定时策略中能够根据节点总数，CPU，内存限制进行扩缩容。修复其它功能缺陷。 1.19.0 表8 v1.17集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.17.27 v1.17 日志优化 bug修复，自动移除已删除的节点池 设置优先调度 修复刚扩容出的节点打污点会被覆盖的问题 修复停用节点伸缩策略时，低于缩容阈值的节点未触发缩容的问题 修改自定义规格的内存申请与限制 当没有开启弹性伸缩的节点池时上报无法伸缩的事件 1.17.0 1.17.22 v1.17 日志优化 1.17.0 1.17.21 v1.17 修复周期性扩容场景下，单次扩容数量超过节点池上限，扩容失败问题 1.17.0 1.17.19 v1.17 修复插件请求重试场景下签名错误导致鉴权失败的问题 1.17.0 1.17.17 v1.17 修复未注册节点删除失败可能阻塞弹性伸缩的问题 1.17.0 1.17.16 v1.17 修复在已有的周期弹性伸缩规则里节点池修改不生效的问题。 1.17.0 1.17.15 v1.17 资源规格配置单位统一化 1.17.0 1.17.14 v1.17 修复Taints异步更新场景触发的重复扩容问题。 1.17.0 1.17.8 v1.17 Bug修复 1.17.0 1.17.7 v1.17 添加日志内容，Bug修复 1.17.0 1.17.5 v1.17 支持v1.17版本的集群，支持页面显示伸缩事件 1.17.0 1.17.2 v1.17 支持v1.17版本的集群 1.17.0 父主题： 插件版本发布记录

API变更与弃用 在Kubernetes1.29版本中，新创建的CronJob不再支持在.spec.schedule中通过TZ或者CRON_TZ配置时区，请使用.spec.timeZone替代。已经创建的CronJob不受此影响。 在Kubernetes1.29版本中，移除了alpha API ClusterCIDR。 在Kubernetes1.29版本中，kube-apiserver新增启动参数--authentication-config，用于指定AuthenticationConfiguration文件地址，该启动参数与--oidc-*启动参数互斥。 在Kubernetes1.29版本中，移除了KubeSchedulerConfiguration的API版本kubescheduler.config.k8s.io/v1beta3，请迁移至kubescheduler.config.k8s.io/v1。 在Kubernetes1.29版本中，将CEL表达式添加到v1alpha1 AuthenticationConfiguration中。 在Kubernetes1.29版本中，新增对象ServiceCIDR，允许用户动态配置集群分配Service的ClusterIP时所使用的地址范围。 在Kubernetes1.29版本中，kube-proxy新增启动参数--conntrack-udp-timeout、--conntrack-udp-timeout-stream，可对nf_conntrack_udp_timeout和nf_conntrack_udp_timeout_stream内核参数进行设置 。 在Kubernetes1.29版本中，将CEL表达式的支持添加到v1alpha1 AuthenticationConfiguration的WebhookMatchCondition中。 在Kubernetes1.29版本中，PVC.spec.Resource的类型由原先的ResourceRequirements替换为VolumeResourceRequirements。 在Kubernetes1.29版本中，将PodFailurePolicyRule中的OnPodConditions转变为可选字段。 在Kubernetes1.29版本中，FlowSchema与PriorityLevelConfiguration的API版本flowcontrol.apiserver.k8s.io/v1beta3已升级至flowcontrol.apiserver.k8s.io/v1，并进行了以下更改 PriorityLevelConfiguration：.spec.limited.nominalConcurrencyShares字段在省略时自动设为默认值30，并且为了确保与1.28兼容，在1.29中v1版本该字段不允许显示指定为0。在1.30中，将允许v1版本该字段显示指定为0。flowcontrol.apiserver.k8s.io/v1beta3已废弃，并在1.32中不再支持。 在Kubernetes1.29版本中， 优化了kube-proxy的命令行文档，kube-proxy实际上不会将任何socket绑定到由--bind-address启动参数指定的IP。 在Kubernetes1.29版本中，移除了selectorSpread调度器插件，使用podTopologySpread替代。 在Kubernetes1.29版本中，当CSI-Node-Driver没有在运行时，NodeStageVolume操作会重试。 在Kubernetes1.29版本中，ValidatingAdmissionPolicy支持对CRD资源进行校验。使用该特性需开启特性门控ValidatingAdmissionPolicy。 在Kubernetes1.29版本中，kube-proxy新增启动参数--nf-conntrack-tcp-be-liberal，可对内核参数nf_conntrack_tcp_be_liberal进行配置。 在Kubernetes1.29版本中，kube-proxy新增启动参数--init-only，设置后使kube-proxy的init容器在特权模式下运行，进行一些初始化配置，然后退出。 在Kubernetes1.29版本中，CRI的返回体中新增容器的fileSystem字段，表示容器的fileSystem使用信息，而原先只包含镜像的fileSystem。 在Kubernetes1.29版本中，所有内置的CloudProvider全部默认设置为关闭，如果仍需使用，可通过配置DisableCloudProviders和DisableKubeletCloudCredentialProvider特性门控来选择性关闭或者打开。 在Kubernetes1.29版本中，kubelet可通过--node-ips来设置双栈IP（kubelet设置--cloud-provider=external，此时可以使用--node-ips参数来设置节点地址(IPv4/IPv6)），使用该特性需开启特性门控CloudDualStackNodeIPs。

新增特性及特性增强 Service的负载均衡IP模式（Alpha） 在Kubernetes1.29版本，Service的负载均衡IP模式以Alpha版本正式发布。其在Service的status中新增字段ipMode，用于配置集群内Service到Pod的流量转发模式。当设置为VIP时，目的地址为负载均衡IP和端口的流量将由kube-proxy重定向到目标节点，当设置为Proxy时，流量将被发送到负载均衡器，然后由负载均衡器转发到目标节点。这项特性将有助于解决流量绕过负载均衡器缩导致的负载均衡器功能缺失问题。更多使用细节请参考Service的负载均衡IP模式。 NFTables代理模式（Alpha） 在Kubernetes1.29版本，NFTables代理模式以Alpha版本正式发布。该特性允许kube-proxy运行在NFTables模式，在该模式下，kube-proxy使用内核netfilters子系统的nftables API来配置数据包转发规则。更多使用细节请参考NFTables代理模式。 未使用容器镜像的垃圾收集（Alpha） 在Kubernetes1.29版本，未使用容器镜像的垃圾收集以Alpha版本正式发布。该特性允许用户为每个节点配置本地镜像未被使用的最长时间，超过这个时间镜像将被垃圾回收。配置方法为使用kubelet配置文件中的ImageMaximumGCAge字段。更多使用细节请参考未使用容器镜像的垃圾收集。 PodLifecycleSleepAction（Alpha） 在Kubernetes1.29版本，PodLifecycleSleepAction以Alpha版本正式发布。该特性在容器生命周期回调中引入了Sleep回调程序，可以配置让容器在启动后和停止前暂停一段指定的时间。更多使用细节请参考PodLifecycleSleepAction。 KubeletSeparateDiskGC（Alpha） 在Kubernetes1.29版本，KubeletSeparateDiskGC以Alpha版本正式发布。该特性启用后，即使在容器镜像和容器位于独立文件系统的情况下，也能进行垃圾回收。 matchLabelKeys/mismatchLabelKeys（Alpha） 在Kubernetes1.29版本，matchLabelKeys/mismatchLabelKeys以Alpha版本正式发布。该特性启用后，在Pod的亲和/反亲和配置中新增了matchLabelKeys/mismatchLabelKeys字段，可配置更丰富的Pod间亲和/反亲和策略。更多使用细节请参考matchLabelKeys/mismatchLabelKeys。 clusterTrustBundle投射卷（Alpha） 在Kubernetes1.29版本，clusterTrustBundle投射卷以Alpha版本正式发布。该特性启用后，支持将ClusterTrustBundle对象以自动更新的文件的形式注入卷。更多使用细节请参考clusterTrustBundle投射卷。 基于运行时类的镜像拉取（Alpha） 在Kubernetes1.29版本中，基于运行时类的镜像拉取以Alpha版本正式发布。该特性启用后， kubelet 会通过一个元组（镜像名称，运行时处理程序）而不仅仅是镜像名称或镜像摘要来引用容器镜像。 你的容器运行时可能会根据选定的运行时处理程序调整其行为。基于运行时类来拉取镜像对于基于VM的容器会有帮助。更多使用细节请参考基于运行时类的镜像拉取。 PodReadyToStartContainers状况达到Beta 在Kubernetes1.29版本，PodReadyToStartContainers状况特性达到Beta版本。其在Pod的status中新增了一个名为PodReadyToStartContainers的Condition，该Condition为true表示Pod的沙箱已就绪，可以开始创建业务容器。该特性使得集群管理员可以更清晰和全面地查看 Pod 沙箱的创建完成和容器的就绪状态，增强了指标监控和故障排查能力。更多使用细节请参考PodReadyToStartContainersCondition。 Job相关特性 Pod更换策略达到Beta 在Kubernetes1.29版本，Pod更换策略特性达到Beta版本。该特性确保只有Pod达到Failed阶段（status.phase: Failed）才会被替换，而不是当删除时间戳不为空时，Pod仍处于删除过程中就重建Pod，以此避免出现2个Pod同时占用索引和节点资源。 逐索引的回退限制达到Beta 在Kubernetes1.29版本，逐索引的回退限制特性达到Beta版本。默认情况下，带索引的 Job（Indexed Job）的 Pod 失败情况会被统计下来，受 .spec.backoffLimit 字段所设置的全局重试次数限制。这意味着，如果存在某个索引值的 Pod 一直持续失败，则会 Pod 会被重新启动，直到重试次数达到限制值。 一旦达到限制值，整个 Job 将被标记为失败，并且对应某些索引的 Pod 甚至可能从不曾被启动。该特性可以在某些索引值的 Pod 失败的情况下，仍完成执行所有索引值的 Pod，并且通过避免对持续失败的、特定索引值的Pod进行不必要的重试，更好的利用计算资源。 原生边车容器达到Beta 在Kubernetes1.29版本，原生边车容器特性达到Beta版本。其在initContainers中新增了restartPolicy字段，当配置为Always时表示启用边车容器。边车容器和业务容器部署在同一个Pod中，但并不会延长Pod的生命周期。边车容器常用于网络代理、日志收集等场景。更多使用细节请参考边车容器。 传统ServiceAccount令牌清理器达到Beta 在Kubernetes1.29版本，传统ServiceAccount令牌清理器特性达到Beta版本。其作为kube-controller-manager的一部分运行，每24小时检查一次，查看是否有任何自动生成的传统ServiceAccount令牌在特定时间段内（默认为一年，通过--legacy-service-account-token-clean-up-period指定）未被使用。如果有的话，清理器会将这些令牌标记为无效，并添加kubernetes.io/legacy-token-invalid-since标签，其值为当前日期。如果一个无效的令牌在特定时间段（默认为1年，通过--legacy-service-account-token-clean-up-period指定）内未被使用，清理器将会删除它。更多使用细节请参考传统ServiceAccount令牌清理器。 DevicePluginCDIDevices达到Beta 在Kubernetes1.29版本，DevicePluginCDIDevices特性达到Beta版本。该特性在DeviceRunContainerOptions增加CDIDevices字段，使得设备插件开发者可以直接将CDI设备名称传递给支持CDI的容器运行时。 PodHostIPs达到Beta 在Kubernetes1.29版本中，PodHostIPs特性达到Beta版本。该特性在Pod和downward API的Status中增加hostIPs字段，用于将节点IP地址暴露给工作负载。该字段是hostIP的双栈协议版本，第一个IP始终与hostIP相同。 API优先级和公平性达到GA 在Kubernetes1.29版本，API优先级和公平性（APF）特性达到GA版本。APF以更细粒度的方式对请求进行分类和隔离，提升最大并发限制，并且它还引入了空间有限的排队机制，因此在非常短暂的突发情况下，API 服务器不会拒绝任何请求。 通过使用公平排队技术从队列中分发请求，这样，一个行为不佳的控制器就不会饿死其他控制器 （即使优先级相同）。更多使用细节请参考API优先级和公平性。 APIListChunking达到GA 在Kubernetes1.29版本，APIListChunking特性达到GA版本。该特性允许客户端在List请求中进行分页，避免一次性返回过多数据而导致的性能问题。 ServiceNodePortStaticSubrange达到GA 在Kubernetes1.29版本，ServiceNodePortStaticSubrange特性达到GA版本。该特性kubelet会根据Nodeport范围计算出预留地址大小，并将Nodeport划分为静态段和动态段。在Nodeport自动分配时，优先分配在动态段，这有助于减小指定静态段分配时的端口冲突。更多使用细节请参考ServiceNodePortStaticSubrange PersistentVolume的阶段转换时间戳达到Beta 在Kubernetes1.29版本，PersistentVolume的阶段转换时间戳特性达到Beta版本。该特性在PV的status中添加了一个lastPhaseTransitionTime字段，表示PV上一次phase变化的时间。通过该字段，集群管理员可以跟踪PV上次转换到不同阶段的时间，从而实现更高效、更明智的资源管理。更多使用细节请参考PersistentVolume的阶段转换时间戳。 ReadWriteOncePod达到GA 在Kubernetes1.29版本中，ReadWriteOncePod特性达到GA版本。该特性允许用户在PVC中配置访问模式为ReadWriteOncePod，确保同时只有一个 Pod能够修改存储中的数据，以防止数据冲突或损坏。更多使用细节请参考ReadWriteOncePod。 CSINodeExpandSecret达到GA 在Kubernetes1.29版本中，CSINodeExpandSecret特性达到GA版本。该特性允许在添加节点时将Secret身份验证数据传递到CSI驱动以供后者使用。 CRD验证表达式语言达到GA 在Kubernetes1.29版本中，CRD验证表达式语言特性达到GA版本。该特性允许用户在CRD中使用通用表达式语言（CEL）定义校验规则，相比webhook更加高效。更多使用细节请参考CRD校验规则。

资源变更与弃用 社区1.21 ReleaseNotes CronJob现在已毕业到稳定状态，版本号变为batch/v1。 不可变的Secret和ConfigMap现在已升级到稳定状态。向这些对象添加了一个新的不可变字段，以拒绝更改。此拒绝可保护集群免受可能无意中中断应用程序的更新。因为这些资源是不可变的，kubelet不会监视或轮询更改。这减少了kube-apiserver的负载，提高了可扩展性和性能。更多信息，请参见Immutable ConfigMaps。 优雅节点关闭现在已升级到测试状态。通过此更新，kubelet可以感知节点关闭，并可以优雅地终止该节点的Pod。在此更新之前，当节点关闭时，其Pod没有遵循预期的终止生命周期，这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统，并通知正在运行的Pod，使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes.io/默认容器注释为kubectl命令预选容器。 PodSecurityPolicy废弃，详情请参见https://kubernetes.io/blog/2021/04/06/podsecuritypolicy-deprecation-past-present-and-future/。 BoundServiceAccountTokenVolume特性进入Beta，该特性能够提升服务账号（ServiceAccount）Token的安全性，改变了Pod挂载Token的方式，Kubernetes 1.21及以上版本的集群中会默认开启。 社区1.20 ReleaseNotes API优先级和公平性已达到测试状态，默认启用。这允许kube-apiserver按优先级对传入请求进行分类。更多信息，请参见API Priority and Fairness。 修复 exec probe timeouts不生效的BUG，在此修复之前，exec 探测器不考虑 timeoutSeconds 字段。相反，探测将无限期运行，甚至超过其配置的截止日期，直到返回结果。 通过此更改，如果未指定值，将使用默认值，默认值为1秒。如果探测时间超过一秒，可能会导致应用健康检查失败。请再升级时确定使用该特性的应用更新timeoutSeconds字段。新引入的 ExecProbeTimeout 特性门控所提供的修复使集群操作员能够恢复到以前的行为，但这种行为将在后续版本中锁定并删除。 RuntimeClass已达到稳定状态。RuntimeClass资源提供了一种机制，用于支持集群中的多个运行时，并将有关该容器运行时的信息公开到控制平面。 kubectl调试已达到测试状态。kubectl调试直接从kubectl提供对常见调试工作流的支持。 Dockershim在1.20被标记为废弃，目前您可以继续在集群中使用Docker。该变动与集群所使用的容器镜像（Image）无关。您依然可以使用Docker构建您的镜像。更多信息，请参见Dockershim Deprecation FAQ。

云原生日志采集插件版本发布记录 表1 云原生日志采集插件版本记录 插件版本 支持的集群版本 更新特性 1.5.1 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 支持v1.29集群 支持日志从各节点直接上报LTS 1.4.5 v1.21 v1.23 v1.25 v1.27 v1.28 修复部分问题 1.4.2 v1.21 v1.23 v1.25 v1.27 v1.28 支持v1.28集群 支持本地集群日志采集 支持GPU事件上报AOM字段特殊处理 1.3.6 v1.17 v1.19 v1.21 v1.23 v1.25 v1.27 - 1.3.4 v1.17 v1.19 v1.21 v1.23 v1.25 v1.27 支持v1.27集群 默认不再上报标准输出和Kubernetes事件到云日志服务(LTS) 1.3.2 v1.17 v1.19 v1.21 v1.23 v1.25 支持Kubernetes事件上报至AOM 1.3.0 v1.17 v1.19 v1.21 v1.23 v1.25 支持v1.25集群 1.2.3 v1.17 v1.19 v1.21 v1.23 - 1.2.2 v1.17 v1.19 v1.21 v1.23 log-agent是基于开源fluent-bit和opentelemetry构建的云原生日志采集插件。log-agent支持基于CRD的日志采集策略，可以根据您配置的策略规则，对集群中的容器标准输出日志、容器文件日志、节点日志及K8s事件日志进行采集与转发。 父主题： 插件版本发布记录

云原生监控插件版本发布记录 表1 云原生监控插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 3.10.0 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 支持v1.29集群。 2.37.8 3.9.5 v1.21 v1.23 v1.25 v1.27 v1.28 新增采集自定义指标的开关，默认开启。 移除对1.17和1.19版本集群的支持。 Grafana从云原生监控插件中移除，拆分为独立的Grafana插件。 默认只采集免费指标和服务发现自定义指标。 升级开源组件版本 2.37.8 3.8.2 v1.17 v1.19 v1.21 v1.23 v1.25 v1.27 修复部分问题。 2.35.0 3.8.1 v1.17 v1.19 v1.21 v1.23 v1.25 v1.27 支持v1.27集群。 优化Agent模式的资源占用并支持分片。 2.35.0 3.7.3 v1.17 v1.19 v1.21 v1.23 v1.25 - 2.35.0 3.7.2 v1.17 v1.19 v1.21 v1.23 v1.25 支持采集Virtual-Kubelet Pod指标。 2.35.0 3.7.1 v1.17 v1.19 v1.21 v1.23 v1.25 支持PrometheusAgent模式 2.35.0 3.6.6 v1.17 v1.19 v1.21 v1.23 v1.25 Grafana版本升级至7.5.17 支持containerd节点 2.35.0 3.5.1 v1.17 v1.19 v1.21 v1.23 - 2.35.0 3.5.0 v1.17 v1.19 v1.21 v1.23 更新至社区2.35.0版本 2.35.0 父主题： 插件版本发布记录

权限说明 云原生日志采集插件中的fluent-bit组件会根据用户的采集配置，读取各节点上容器标准输出、容器内文件日志以及节点日志并采集。 fluent-bit组件运行需要以下权限： CAP_DAC_OVERRIDE：忽略文件的 DAC 访问限制。 CAP_FOWNER：忽略文件属主 ID 必须和进程用户 ID 相匹配的限制。 DAC_READ_SEARCH：忽略文件读及目录搜索的 DAC 访问限制。 SYS_PTRACE：允许跟踪任何进程。

安装插件 登录CCE控制台，单击集群名称进入集群，在左侧导航栏中选择“插件中心”，在右侧找到云原生日志采集插件，单击“安装”。 在安装插件页面，设置“规格配置”。 表1 插件规格配置 参数 参数说明 插件规格 该插件可配置“小规格”、“大规格”或“自定义”规格。 实例数 选择上方插件规格后，显示插件中的实例数。 选择“自定义”规格时，您可根据需求调整插件实例数。 实例数为1时插件不具备高可用能力，当插件实例所在节点异常时可能导致插件功能无法正常使用，请谨慎选择。 容器 log-agent插件包含以下容器，您可根据需求自定义调整规格： fluent-bit：日志收集器，以DaemonSet形式安装在每个节点。 cop-logs：负责采集侧配置文件生成及更新的组件。 log-operator：负责解析及更新日志规则的组件。 otel-collector：负责集中式日志转发的组件，将fluent-bit收集的日志转发到LTS。 设置插件实例的“调度策略”。 调度策略对于DaemonSet类型的插件实例不会生效。 表2 插件调度配置 参数 参数说明 多可用区部署 优先模式：优先将插件的Deployment实例调度到不同可用区的节点上，如集群下节点不满足多可用区，插件实例将调度到单可用区。 强制模式：插件Deployment实例强制调度到不同可用区的节点上，如集群下节点不满足多可用区，插件实例将无法全部运行。 完成以上配置后，单击“安装”。

版本记录 表5 云原生日志采集插件版本记录 插件版本 支持的集群版本 更新特性 1.4.5 v1.21 v1.23 v1.25 v1.27 v1.28 修复部分问题 1.4.2 v1.21 v1.23 v1.25 v1.27 v1.28 支持v1.28集群 支持本地集群日志采集 支持GPU事件上报AOM字段特殊处理 1.3.6 v1.17 v1.19 v1.21 v1.23 v1.25 v1.27 - 1.3.4 v1.17 v1.19 v1.21 v1.23 v1.25 v1.27 支持v1.27集群 默认不再上报标准输出和Kubernetes事件到云日志服务(LTS) 1.3.2 v1.17 v1.19 v1.21 v1.23 v1.25 支持Kubernetes事件上报至AOM 1.3.0 v1.17 v1.19 v1.21 v1.23 v1.25 支持v1.25集群 1.2.3 v1.17 v1.19 v1.21 v1.23 - 1.2.2 v1.17 v1.19 v1.21 v1.23 log-agent是基于开源fluent-bit和opentelemetry构建的云原生日志采集插件。log-agent支持基于CRD的日志采集策略，可以根据您配置的策略规则，对集群中的容器标准输出日志、容器文件日志、节点日志及K8s事件日志进行采集与转发。

插件使用说明 该插件支持采集容器标准输出日志、容器文件日志、节点日志及K8s事件日志。您可以选择使用云日志服务（LTS）或应用运维管理服务（AOM）存储日志，但二者支持的日志类型存在差异，详情请参见表4。 表4 日志存储位置说明 日志存储位置 支持的日志类型 使用说明 LTS 容器标准输出日志 容器文件日志 节点日志 Kubernetes事件 请前往日志中心创建策略，具体配置方法请参见通过云原生日志采集插件采集容器日志。 AOM Kubernetes事件 当集群版本为1.19.16、1.21.11、1.23.9或1.25.4及以上时，默认上报所有异常事件和部分正常事件，具体配置方法请参见Kubernetes事件上报应用运维管理（AOM）。

组件说明 表3 log-agent组件 容器组件 说明 资源类型 fluent-bit 轻量级的日志收集器和转发器，部署在每个节点上采集日志。 DaemonSet cop-logs 负责生成采集文件的软链接，和fluent-bit运行在同一Pod。 DaemonSet log-operator 负责生成内部的配置文件。 Deployment otel-collector 负责收集来自不同应用程序和服务的日志数据，集中后上报至LTS。 Deployment

插件性能规格 性能项 说明 备注 单条日志大小 单条日志不得超过512k，多行日志采集则每行日志单独计算长度。 不涉及 最大采集文件数 单个节点所有日志采集规则监听的文件数不超过4095个文件。 不涉及 日志采集速率 插件低于1.5.0版本，每个集群限制单行日志采集速率不超过10000条/秒，多行日志不超过2000条/秒。 插件为1.5.0及以上版本，单节点限制日志采集速率不超过20000条/s、10MB/s。 超过限制尽可能提供服务，不保证服务质量。 配置更新 配置更新生效的延时约1-3分钟。 不涉及

插件简介 云原生日志采集插件（log-agent）是基于开源fluent-bit和opentelemetry构建的云原生日志、K8s事件采集插件。log-agent支持基于CRD的日志采集策略，可以根据您配置的策略规则，对集群中的容器标准输出日志、容器文件日志、节点日志及K8s事件日志进行采集与转发。同时支持上报K8s事件到AOM，用于配置事件告警，默认上报所有异常事件和部分正常事件。 自1.3.2版本起，云原生日志采集插件默认会将上报所有Warning级别事件以及部分Normal级别事件到应用运维管理（AOM），上报的事件可用于配置告警。当集群版本为1.19.16、1.21.11、1.23.9或1.25.4及以上时，安装云原生日志采集插件后，事件上报AOM将不再由控制面组件上报，改为由云原生日志采集插件上报，卸载插件后将不再上报事件到AOM。

规则详情 表1 规则详情 参数 说明 规则名称 required-tag-check 规则展示名 资源具有指定的标签 规则描述 指定一个标签，不具有此标签的资源，视为“不合规”。 标签 tag 规则触发方式 配置变更 规则评估的资源类型 支持标签的云服务和资源类型 规则参数 specifiedTagKey：指定的标签键，字符串类型。 specifiedTagValue：指定的标签值列表，如果列表为空，表示允许所有值，数组类型，最多包含10个元素。

查看部署至成员账号中的组织合规规则包 以组织成员账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 在“合规规则包”页签下，单击合规规则包列表中的某个组织合规规则包名称，进入合规规则包详情页。 在详情页中可以查看合规规则包的基本信息和配置的参数值，以及下发的合规规则列表和每条合规规则的合规评估结果。 在“规则”列表单击某个规则的“规则名称”，界面将跳转至“资源合规”的“规则详情”页面，并自动筛选出此规则评估出的不合规资源。 图2 查看部署至成员账号中的组织合规规则包 当组织合规规则包部署成功后，会在组织内成员账号的合规规则包列表中显示此组织合规规则包，系统将自动在合规规则包名称前添加“Org-”字段。 组织内的成员账号只能触发组织合规规则包部署规则的评估和查看规则评估结果以及详情，不支持删除组织合规规则包的操作。

查看组织合规规则包 使用创建组织合规规则包的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 选择“组织合规规则包”页签，在列表中可查看所有已创建的组织合规规则包，还可以查看各组织合规规则包的部署状态。 在列表中单击需要查看的组织合规规则包名称，进入组织合规规则包详情页。 页面左侧为组织合规规则包部署账号和排除账号的相关信息，页面右侧为组织合规规则包的详情和参数。 图1 组织合规规则包详情页 组织合规规则包的部署状态有以下几种： 已部署：合规规则包已部署成功，合规规则均创建成功。 部署中：合规规则包正在部署中，合规规则正在创建中。 部署异常：合规规则包部署失败。 回滚成功：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则删除成功。 回滚中：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，已创建的合规规则正在删除中。 回滚失败：合规规则包下发的合规规则创建失败，触发合规规则的回滚行为，回滚行为失败，需在RFS服务查看失败原因。 删除中：合规规则包正在删除中，合规规则正在删除中。 删除异常：合规规则包删除失败。 更新成功：合规规则包修改并更新成功。 更新中：合规规则包修改更新中。 更新失败：合规规则包修改更新失败。

操作场景 组织账号可以通过列表查看自己创建的组织合规规则包及其详情，并支持在列表中进行搜索过滤操作，但无法看到组织内其他账号添加的组织合规规则包。 当组织合规规则包部署成功后，会在组织内成员账号的合规规则包列表中显示此组织合规规则包。且该组织合规规则包的删除操作只能由创建组织规则包的组织账号进行，组织内的其他账号只能触发合规规则包部署规则的评估和查看规则评估结果以及详情。 本章节包含查看组织合规规则包和查看部署至成员账号中的组织合规规则包两部分内容。

适用于弹性负载均衡（ELB）的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 elb-loadbalancers-no-public-ip ELB资源不具有公网IP elb 确保弹性负载均衡（ELB）无法公网访问，管理对华为云中资源的访问。 ELB资源具有公网IP，视为“不合规” 用户可以解除不合规资源的公网绑定。 elb-predefined-security-policy-https-check ELB监听器配置指定预定义安全策略 elb 对于银行，金融类加密传输的应用 ，在创建和配置HTTPS监听器时，您可以选择使用安全策略，可以提高您的业务安全性。安全策略包含TLS协议版本和配套的加密算法套件。 独享型负载均衡器关联的HTTPS协议类型监听器未配置指定的预定义安全策略，视为“不合规“ 独享型负载均衡支持选择默认安全策略或创建自定义策略。您可以为HTTPS监听器选择指定的预定义安全策略。 elb-tls-https-listeners-only ELB监听器配置HTTPS监听协议 elb 确保弹性负载均衡的监听器均已配置HTTPS监听协议。HTTPS协议适用于需要加密传输的应用。由于可能存在敏感数据，因此启用传输中加密有助于保护该数据。 负载均衡器的任一监听器未配置HTTPS监听协议，视为“不合规” 您可以添加一个HTTPS监听转发来自HTTPS协议的请求。独享型负载均衡前端协议为“HTTPS”时，后端协议可以选择“HTTP”或“HTTPS”。共享型负载均衡前端协议为“HTTPS”时，后端协议默认为“HTTP”，且不支持修改。如果您的独享型负载均衡实例类型为网络型（TCP/UDP），则无法创建HTTPS监听器。 父主题： 合规规则包示例模板

操作步骤 使用创建组织合规规则的组织账号登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 选择“组织规则”页签，在规则列表中单击操作列的“编辑”。 图1 编辑组织合规规则 进入“编辑规则”页面，修改“规则名称”和“规则简介”后，单击“下一步”。 修改“规则参数”后，单击“下一步”。 确认规则修改无误后，单击“提交”。

适用于日志和监控的最佳实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 alarm-action-enabled-check 启用了CES告警操作 ces 确保启用了CES告警操作,用户对云服务的核心监控指标设置告警规则，当监控指标触发用户设置的告警条件时,云监控服务使用消息通知服务向用户通知告警信息。 CES告警操作未启用，视为“不合规” 您需要在消息通知服务界面创建一个主题并为这个主题添加相关的订阅者，然后在添加告警规则的时候，您需要开启消息通知服务并选择创建的主题，这样在云服务发生异常时，云监控服务可以实时的将告警信息以广播的方式通知这些订阅者。 apig-instances-execution-logging-enabled APIG专享版实例配置访问日志 apig 确保为APIG专享版实例配置访问日志。APIG支持日志自定义分析模板，便于日志的统一收集和管理，也可通过API异常调用分析进行追查和溯源。 APIG专享版实例未配置访问日志，视为“不合规” 可以在API网关控制台选择启动日志记录 as-group-elb-healthcheck-required 弹性伸缩组使用弹性负载均衡健康检查 as 根据ELB对云服务器的健康检查结果进行的检查，健康检查会将异常的实例从伸缩组中移除。这条规则确保与负载均衡器关联的伸缩组使用了弹性负载均衡健康检查。 与负载均衡器关联的伸缩组未使用弹性负载均衡健康检查，视为“不合规” 如果您将多个负载均衡器添加到伸缩组，则只有在所有负载均衡器均检测到云服务器状态为正常的情况下，才会认为该弹性云服务器正常。否则只要有一个负载均衡器检测到云服务器状态异常，伸缩组会将该弹性云服务器移出伸缩组。 cts-kms-encrypted-check CTS追踪器通过KMS进行加密 cts 确保云审计服务（CTS）的追踪器已配置KMS加密存储用于归档的审计事件。 CTS追踪器未通过KMS进行加密，视为“不合规” 建议您配置独立OBS桶并配置KMS加密存储专门用于归档审计事件。 cts-lts-enable CTS追踪器启用事件分析 cts 确保使用云日志服务（LTS）集中收集云审计服务（CTS）的数据。 CTS追踪器未启用事件分析，视为“不合规” 开通云审计日志后，系统会自动创建一个名为system的管理事件追踪器，并将当前租户的所有操作记录在该追踪器中。在追踪器中配置CTS转储到LTS，配置完成后会在LTS自动创建日志组日志流 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 由于CTS只支持查询7天的审计事件，为了您事后审计、查询、分析等要求，启用CTS追踪器请配置OBS服务桶。 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” 云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 cts-support-validate-check CTS追踪器打开事件文件校验 cts 在安全和事故调查中，通常由于事件文件被删除或者被私下篡改，而导致操作记录的真实性受到影响，无法对调查提供有效真实的依据。事件文件完整性校验功能旨在帮助您确保事件文件的真实性。 CTS追踪器未打开事件文件校验，视为“不合规” 在配置转储页面打开“文件校验”开关，即可开启事件文件完整性校验功能。 cts-tracker-exists 创建并启用CTS追踪器 cts 云审计服务支持创建数据类事件追踪器，用于记录数据操作日志。数据类追踪器用于记录数据事件，即针对租户对OBS桶中的数据的操作日志，例如上传、下载等。 账号未创建CTS追踪器，视为“不合规” 可进入云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。 dws-enable-log-dump DWS集群启用日志转储 dws GaussDB(DWS) 记录您的数据库中的连接和用户活动相关信息。这些审计日志信息有助于您监控数据库以确保安全或进行故障排除或定位历史操作记录。当前这些审计日志默认存储于数据库中，您可以将审计日志转储到OBS中使负责监控数据库中活动的用户更方便的查看这些日志信息。 DWS集群未启用日志转储，视为“不合规” GaussDB(DWS) 集群创建成功后，您可以为集群开启审计日志转储，将审计日志转储到OBS中，方便查看。 function-graph-concurrency-check 函数工作流的函数并发数在指定范围内 fgs FunctionGraph会根据实际的请求情况自动弹性伸缩函数实例，并发变高时，会分配更多的函数实例来处理请求，并发减少时，相应的实例也会变少。此规则可确保建立函数工作流（FunctionGraph）的并发上限和下限。 FunctionGraph函数并发数不在指定的范围内，视为“不合规” 对于不合规的实例，在函数详情页可以修改函数并发数的值。 multi-region-cts-tracker-exists 在指定区域创建并启用CTS追踪器 cts 云审计服务CTS提供对各种云资源操作记录的收集、存储和查询功能。首次开通云审计服务时，系统会自动为您创建一个名为system的管理追踪器。公有云的数据中心分布在全球不同区域，通过在指定区域开通云审计服务，可以将应用程序的设计更贴近特定客户的需求，或满足特定地区的法律或其他要求。数据追踪器会记录当前区域租户对OBS桶中的数据操作的详细信息。 账号未在指定region列表创建CTS追踪器，视为“不合规” 您可以进入指定区域云审计服务页面，导航栏选择“追踪器”，单击“创建追踪器”，根据提示操作。 rds-instance-logging-enabled RDS实例配备日志 rds 确保rds资源配备了访问日志。配置访问日志后，RDS实例新生成的日志记录会上传到云日志服务（Log Tank Service，简称LTS）进行管理。 未配备任何日志的RDS资源，视为“不合规” 您可以为不合规的RDS资源配置访问日志。方式为：登录RDS管理控制台，选择日志配置管理，选择为一个或多个实例配置访问日志。 vpc-flow-logs-enabled VPC启用流日志 vpc VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 检查是否为VPC启用了流日志，如果该VPC未启用流日志，视为“不合规” 您可以为不合规的VPC资源开启流日志记录，方式为：创建日志组、日志流之后，进入VPC流日志列表页面创建VPC流日志，按照提示配置参数。 父主题： 合规规则包示例模板

适用于人工智能与机器学习场景的合规实践 该示例模板中对应的合规规则的说明和修复项指导如下表所示： 表1 合规包示例模板说明 合规规则 规则中文名称 涉及云服务 说明指导 规则描述 修复项指导 cce-cluster-end-of-maintenance-version CCE集群版本为处于维护的版本 cce 确保CCE集群版本为处于维护中的版本。 CCE集群版本为停止维护的版本，视为“不合规” 为了保证您的服务权益，建议尽快升级到最新的商用版本。集群升级流程包括升级前检查、备份、升级和升级后验证几个步骤，具体操作流程可见CCE服务说明文档的升级概述。 cce-cluster-oldest-supported-version CCE集群运行的非受支持的最旧版本 cce 确保CCE集群运行的不是最旧版本 如果CCE集群运行的是受支持的最旧版本（等于参数“最旧版本支持”），视为“不合规” 系统会自动为您的华为云CCE任务部署安全更新和补丁。如果发现影响华为云CCE平台版本的安全问题，华为云会修补该平台版本。要帮助对运行华为云cluster的华为云CCE任务进行补丁管理，请更新您服务的独立任务以使用最新的平台版本。 cce-endpoint-public-access CCE集群资源不具有公网IP cce 确保CCE集群资源不可以被公网访问 CCE集群资源具有公网IP，视为“不合规” 用户可以解除集群与EIP的绑定。 cts-obs-bucket-track CTS追踪器追踪指定的OBS桶 cts 由于CTS只支持查询7天的审计事件，为了您事后审计、查询、分析等要求，启用CTS追踪器请配置OBS服务桶。 账号下的所有CTS追踪器未追踪指定的OBS桶，视为“不合规” 云审计服务管理控制台支持配置已开启的追踪器的OBS桶、LTS转储和配置已创建的追踪器关键事件操作通知。 mrs-cluster-kerberos-enabled MRS集群开启kerberos认证 mrs MRS 1.8.0版本之前未开启Kerberos认证的集群不支持访问权限细分。只有开启Kerberos认证才有角色管理权限，MRS 1.8.0及之后版本的所有集群均拥有角色管理权限。 MRS集群未开启kerberos认证，视为“不合规” MRS服务暂不支持集群创建完成后手动开启和关闭Kerberos服务，如需更换Kerberos认证状态，建议重新创建MRS集群，然后进行数据迁移。 mrs-cluster-no-public-ip MRS集群未绑定公网IP mrs 确保MapReduce服务（MRS）无法公网访问。华为云MRS集群主节点可能包含敏感信息，并且此类账户需要访问控制。 MRS集群绑定公网IP，视为“不合规” 对于不合规的MRS资源，用户可以解除其与弹性公网IP的绑定。 sfsturbo-encrypted-check 弹性文件服务通过KMS进行加密 sfsturbo 由于敏感数据可能存在并帮助保护静态数据，确保弹性文件服务(SFS Turbo)已通过KMS进行加密。 弹性文件服务(SFS Turbo)未通过KMS进行加密，视为“不合规” 可以新创建加密或者不加密的文件系统，无法更改已有文件系统的加密属性。 父主题： 合规规则包示例模板

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“合规规则包”，进入“合规规则包”页面。 在合规规则包列表中单击操作列的“编辑”，进入“编辑合规规则包”页面。 当前不支持修改合规规则包选择的模板，单击“下一步”。 进入“详细信息”页面，修改合规规则包名称和规则参数的值，单击“下一步”。 图1 修改合规规则包 进入“确认配置”页面，确认修改无误后，单击“确定”。 合规规则包修改完成后将会被重新部署。

操作场景 当Config提供的系统内置预设策略不能满足检测资源合规性的需求时，您可以通过编写函数代码，添加自定义策略来完成复杂场景的资源审计。 自定义策略是一个用户开发并发布在函数工作流（FunctionGraph）上的函数。将合规规则和函数相关联，函数接收Config发布的事件，从事件中接收到规则参数和Config服务收集到的资源属性；函数评估该规则下资源的合规性并通过Config的OpenAPI回传Config服务合规评估结果。合规规则的事件发送因触发类型为配置变更或周期执行而异。要了解如何使用FunctionGraph函数以及如何开发它们，请参阅《FunctionGraph用户指南》。 仅被资源记录器收集的资源可参与资源评估，为保证资源合规规则的评估结果符合预期，强烈建议您保持资源记录器的开启状态，不同场景的说明如下： 如您从未开启过资源记录器，则资源合规规则无法评估任何资源数据。 如您已开启资源记录器，但仅在资源记录器监控范围内勾选部分资源，则资源合规规则仅会评估所选择的资源数据。 如您开启资源记录器并勾选全部资源，但后续又关闭资源记录器，则资源合规规则仅会评估资源记录器由开启到关闭期间收集到的资源数据。 关于如何开启并配置资源记录器请参见：配置资源记录器。 本章节指导您如何通过自定义策略来添加资源合规规则，主要包含如下步骤： 创建FunctionGraph函数； 添加自定义合规规则。

添加自定义合规规则 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击左侧的“资源合规”，进入“资源合规”页面。 单击页面中部的“添加规则”，进入“基础配置”页面。 “策略类型”选择“自定义策略”，配置相关参数并进行授权，授权方式可以选择“快速授权”或“自定义授权”，配置完成后单击“下一步”。 快速授权：将为您快速创建一个名为“rms_custom_policy_agency”的委托权限，该权限是可以让自定义合规规则正常工作的权限，包含调用函数工作流（FunctionGraph）的获取函数和异步执行函数的权限。 自定义授权：您可自行在统一身份认证服务（IAM）中创建委托权限，并进行自定义授权，授权对象为配置审计（Config），授权内容为： { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "functiongraph:function:invokeAsync", "functiongraph:function:getConfig" ] } ] } 创建委托详见《统一身份认证服务用户指南》。 图1 添加合规规则-自定义策略 进入“规则参数”页面，规则参数配置完成后，单击“下一步”。 进入“确认规则”页面，确认规则信息无误后，单击“提交”按钮，完成自定义合规规则创建。

高级查询概述 配置审计服务提供高级查询能力，通过使用ResourceQL自定义查询用户当前的单个或多个区域的资源配置状态。 高级查询支持用户自定义查询和浏览云服务资源，用户可以通过ResourceQL在查询编辑器中编辑和查询。 ResourceQL是结构化的查询语言(SQL) SELECT语法的一部分，它可以对当前资源数据执行基于属性的查询和聚合。查询的复杂程度不同，既可以是简单的标签或资源标识符匹配，也可以是更复杂的查询，例如查看指定具体OS版本的云服务器。 您可以使用高级查询来实现： 库存管理。例如检索特定规格的云服务器实例的列表。 安全合规检查。例如检索已启用或禁用特定配置属性（公网IP，加密磁盘）的资源的列表。 成本优化。例如检索未挂载到任何云服务器实例的云磁盘的列表，避免产生不必要的费用。 高级查询仅支持用户自定义查询、浏览、导出云服务资源，如果要对资源进行修改、删除等管理类的操作，请前往资源所属的服务页面进行操作。 父主题： 高级查询

操作步骤 登录管理控制台。 单击页面左上角的图标，在弹出的服务列表中，选择“管理与监管”下的“配置审计 Config”，进入“资源清单”页面。 单击页面左侧的“高级查询”，进入“高级查询”页面。 “高级查询”页面默认展示预设查询列表，您可以选择“自定义查询”页签，查看自定义查询列表。 在查询列表中可以查看查询的名称和描述等信息。 单击需要查看的查询名称，进入查询概览页。 可以查看查询的具体SQL语句。 图1 查看查询详情