检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
资源标签选择器,仅节点检查涉及该参数,集群检查和插件检查不涉及 表6 resourceSelectorResponse 参数 参数类型 描述 key String 标签键值 values Array of strings 标签值列表 operator String 标签值 表7 PrecheckStatus 参数
勾选“开启IPv6”,将自动为子网分配IPv6网段。该功能一旦开启,将不能关闭。暂不支持自定义设置IPv6网段。 - 关联路由表 子网创建完成后默认关联默认路由表,您也可以通过子网的更换路由表操作,切换至自定义路由表。 默认 高级配置 网关 子网的网关。 通向其他子网的IP地址,用于实现与其他子网的通信。 192
成功。 删除任何使用subPath功能的Pod。 VolumeSubpath特性开启或回退 修改kubelet配置文件,删除VolumeSubpath相关字段。 vi /opt/cloud/cce/kubernetes/kubelet/kubelet_config.yaml 重启kubelet。
后两处注入脚本的功能。但是使用通常碰到如下限制: 注入脚本的字符有限。 各种需求、场景的多样性可能会经常修改注入的脚本内容,而对于CCE节点池的注入脚本是固定的,不适合经常修改。 解决方案 本文提供CCE+OBS结合的方式,提供了一种简化、可扩展、易维护的最佳实践方式,方便用户在CCE节点上做一些自定义操作。
权容器、配置生命周期、添加hostNetwork: true字段。 新建daemonSet文件。 vi daemonSet.yaml Yaml示例如下: spec.spec.containers.lifecycle字段是指容器启动后执行设置的命令。 kind: DaemonSet
扩展类型,默认值为“bandwidth”,表示增强型的文件系统。该字段不起作用。 everest.io/share-source 是 参数取值固定为“sfs-turbo”。 everest.io/share-volume-type 否 极速文件存储类型,默认值为“STANDARD”,表示标准型和标准型增强版。该字段不起作用。
yaml文件中的name和version字段和模板包名称不一致。 如果您需要自定义模板包的名称和版本,需要同步修改Chart.yaml文件中的name和version字段。 解决方案 查看模板Chart.yaml文件中的name和version字段。 例如,nginx-ingress的模板包中Chart
Security Admission配置。 修改全局默认Pod安全策略 修改全局默认Pod安全策略前,请确保已创建CCE集群,并且通过kubectl连接集群成功。 执行如下命令: kubectl edit psp psp-global 修改所需的参数,如表1。 表1 Pod安全策略配置 配置项
7e482b16":{"container-1":"1"}},"checksum":1500530529} policyName字段值为static代表策略设置成功。 查看容器的cpuset.preferred_cpus的cgroup设置,输出内容即为优先使用的CPU号。 cat
node-local-dns:表示安装节点本地域名解析加速插件。 volcano:表示安装Volcano调度器插件。 npd:表示安装CCE节点故障检测插件。 cie-collector:表示安装云原生监控插件。 log-agent:表示安装云原生日志采集插件。 virtual-kubelet:表示安装CCE突发弹性引擎(对接
/etc/sysctl.conf ARP表项的垃圾回收调优。 gc_thresh1:表示最小可保留的表项数量,如果表项数量小于此值GC(Garbage collector)不进行回收操作。请勿修改。 gc_thresh2:当表项数量超过此值时,GC将会清空大于5秒的表项。请勿修改。 gc_thres
SOURCE_IP:源IP算法。 当该字段的取值为SOURCE_IP时,后端云服务器组绑定的后端云服务器的权重设置(weight字段)无效,且不支持开启会话保持。 会话保持类型 支持基于源IP地址的简单会话保持,即来自同一IP地址的访问请求转发到同一台后端服务器上。 参数名 取值范围 默认值 是否允许修改 作用范围
默认值 是否允许修改 作用范围 spec.names 无 无 允许 CCE Standard/CCE Turbo 自定义资源名称属性,此字段包含了自定义资源的复数形式、单数形式、别名等 自定义资源名称的复数形式 自定义资源名称的复数形式 参数名 取值范围 默认值 是否允许修改 作用范围
系统随机分配一个不冲突的网段供用户使用,因后续不支持修改建议商用场景选择手动分配,确保网段符合用户诉求。 容器网络网段列表 集群下容器所使用的网段列表 参数名 取值范围 默认值 是否允许修改 作用范围 ContainerNetwork.cidrs 容器网段的列表,支持1-20个容器网络网段 无 支持创建集群时配置,不支持后续修改
tl,具体请参见使用kubectl连接集群。 对接云存储后,存储未创建成功。 出现上述问题可能是创建的PVC中annotation字段导致的,请修改模板名称后再次进行安装。 如果kubectl没有配置好,helm install时会出现如下报错: # helm install prometheus/
路径下的文件是否更改。 kubectl exec statefulset-dss-0 -- ls /data 预期输出如下: lost+found static static文件仍然存在,则说明磁盘中的数据可持久化保存。 相关操作 您还可以执行表3中的操作。 表3 其他操作 操作
externalIPs字段,能够劫持集群内其他Pod或者节点访问该externalIP(如某公网知名IP)的流量,并将其转发到攻击者创建的恶意Pod中,造成中间人攻击。同理,攻击者通过修改Service对象的status.loadBalancer.ingress.ip也能达到此目的。 表1 漏洞信息
何从容器访问内部网络(VPC内集群外),包括VPC内访问和跨VPC访问。 VPC内访问 根据集群容器网络模型不同,从容器访问内部网络有不同表现。 容器隧道网络 容器隧道网络在节点网络基础上通过隧道封装网络数据包,容器访问同VPC下其他资源时,只要节点能访问通,容器就能访问通。如果
http.paths[].path”字段可以获取ingress-controller使用的credentials。这个credentials可以获取集群中所有namespace的secrets。该漏洞被收录为CVE-2021-25748。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别
enabled:设置为true,表示开启Spark事件日志记录。 spark.eventLog.dir:OBS桶名称及路径,格式为obs://{bucket-name}/{log-dir}/,例如obs://spark-sh1/history-obs/。请务必修改OBS桶名称及目录为正确值。 修改~/sp
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
