本文提供容器服务ACK不同集群类型的最佳实践和产品教程索引。
最佳实践索引
集群类型 | 相关文档 |
托管版与专有版容器集群ACK | 托管与专有版容器集群ACK最佳实践 |
ACK Serverless集群 | ACK Serverless集群最佳实践 |
云原生AI套件 | 云原生AI套件最佳实践 |
分布式云容器平台ACK One | 分布式云容器平台ACK One最佳实践 |
本文提供容器服务ACK不同集群类型的最佳实践和产品教程索引。
集群类型 | 相关文档 |
托管版与专有版容器集群ACK | 托管与专有版容器集群ACK最佳实践 |
ACK Serverless集群 | ACK Serverless集群最佳实践 |
云原生AI套件 | 云原生AI套件最佳实践 |
分布式云容器平台ACK One | 分布式云容器平台ACK One最佳实践 |
NVIDIA Container Toolkit 1.17.3及以下版本在处理CUDA前向兼容性时存在安全漏洞。当容器镜像内存在恶意构造的软链接文件时,libnvidia-container会错误地将主机目录以只读模式挂载到容器内部。攻击者可利用该漏洞绕过容器隔离机制,导致敏感信息窃取或主机权限提升
Kubernetes社区披露了Nginx Ingress相关的一系列安全漏洞,包括CVE-2025-1097、CVE-2025-1098、CVE-2025-1974、CVE-2025-24513、CVE-2025-24514等。 漏洞影响
Kubernetes社区披露了安全漏洞CVE-2025-0426。未认证的攻击者可以向kubelet HTTP只读端口发送大量容器Checkpoint请求,导致磁盘空间迅速被占满,从而完成针对集群节点的DoS拒绝服务攻击。 该漏洞被评估为中危漏洞,CVSS评分为6.4。关于该漏洞的更多信息,请参见#
containerd社区披露了CVE-2024-40635安全漏洞,容器启动时,当设置的UID或GID超过32位有符号整数的最大值时,会导致溢出且最终以root用户(UID 0)的身份启动。攻击者可以利用该漏洞要求容器在非root用户运行的环境下进行非预期的越权攻击。 该漏洞被评估为中危漏洞,CVS
Kubernetes社区披露了安全漏洞CVE-2024-10220。该漏洞允许拥有创建Pod权限的攻击者通过部署Pod并关联gitRepo存储卷,以执行超出容器边界的任意命令。攻击者利用目标Git仓库中的钩子文件夹,逃逸到容器外完成命令执行攻击。 该漏洞被评估为高危漏洞,在CVSS评分为8.1。关于
NVIDIA Container Toolkit 1.16.1及以下版本在使用默认配置时存在一个TOCTOU竞态条件攻击漏洞。该漏洞不会影响容器设备接口(CDI)的使用,但若被成功利用,可能导致容器逃逸,使攻击者能够在宿主机上执行任意命令或获取敏感信息。已知的攻击场景需要受害者使用恶意镜像,并在容器