检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
e-proxy安全漏洞CVE-2020-8558并对其进行了详细分析,分析结论为:基于CCI服务当前形态,用户与CCI服务均不受本次漏洞的影响,无需进行处理。 漏洞详情 Kubernetes官方发布安全漏洞(CVE-2020-8558),Kubernetes节点的设置允许相邻主机绕过本地主机边界进行访问。
建、删除、修改之外的所有操作。 系统策略 CCI Administrator 云容器实例管理员权限,拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。 系统角色 表3列出了CCI常用操作与系统权限的授权关系,您可以参照该表选择合适的系统权限。 表3 常用操作与系统策略的关系
global模块:控制Prometheus Server的全局配置。 scrape_interval:表示拉取targets的默认时间间隔。 evaluation_interval:表示执行rules的时间间隔。 scrape_configs模块:用于控制prometheus监控哪些资源。
务资源操作请求以及每次请求的结果。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CTS支持追踪的CCI操作列表,请参见云审计服务支持的CCI操作列表。 CCI记录的审计日志会上报到CTS,供用户查询和分析,详细介绍和配置方法,请参见查看云审计日志。 日志 CCI为用户
定为账户欠费。欠费后,可能会影响云服务资源的正常运行,请及时充值。 欠费原因 已购买按需计费云容器实例,因持续性周期扣款而导致账户的余额不足。 删除按需计费云容器实例后,因存在未删除的关联资源(如云硬盘、EIP)持续扣费而导致账户的余额不足。 欠费影响 按需计费 当您的账号因按需
为什么业务运行性能不达预期? 由于CCI服务底层资源是多租户共享的,为了保障用户业务稳定,CCI服务底层对于磁盘IO等是有流控限制的。体现在容器内,主要影响是负载对根目录rootfs的读写、负载标准日志输出数据量都会受到一定限制。如果您的业务运行性能不达预期,可以从以下几个可能的原因进行排查:
CCI的kubernetes资源通过命名空间进行权限设置,目前包含cluster-admin、admin、edit、view四种角色,详见表2。 表2 用户/用户组角色说明 默认的ClusterRole 描述 cluster-admin 具有Kubernetes所有资源对象操作权限。
CCI的kubernetes资源通过命名空间进行权限设置,目前包含cluster-admin、admin、edit、view四种角色,详见表2。 表2 用户/用户组角色说明 默认的ClusterRole 描述 cluster-admin 具有Kubernetes所有资源对象操作权限。
被标识为执行失败,任务负载下的所有Pod实例都会被删除。为空时表示不设置超时时间。 单击“下一步:规格确认”,单击“提交”,单击“返回任务列表”。 在任务列表中,待任务状态为“执行中”,任务创建成功。您可以单击负载名进入任务详情界面,按F5查看任务实时状态。 使用kubectl创建任务
SWR(容器镜像服务)服务所有资源列表的查看权限 nat:*:get NAT(NAT网关)服务所有资源详情的查看权限 nat:*:list NAT(NAT网关)服务所有资源列表的查看权限 kms:*:get 查询密钥信息 kms:*:list 查询密钥列表 CCI CommonOperations策略权限如下:
job只执行一些echo和ls命令,总体耗时1s不到),就存在短时Pod运行退出时如果刚好在两次podwork检测volume挂载周期中,那么就会出现本问题单所述的误报,但是不影响业务使用,且实际的Job业务还是会运行超过上述时间的。 当前kubelet上述能力属于社区挂载框架既有能力。 解决方法: 针对短时运行的P
什么是环境变量? 环境变量是指容器运行环境中设定的一个变量。环境变量可以在工作负载部署后修改,为工作负载提供了极大的灵活性。 在CCI中设置环境变量与Dockerfile中的“ENV”效果相同。 父主题: 基本概念类
为方便用户在CCI内直接为Pod关联弹性公网IP,只需在创建Pod时配置annotation,弹性公网IP就会随Pod自动绑定该Pod。自动绑定弹性公网IP分为两种场景: 表1 自动绑定EIP配置annotation 场景 配置annotation参数 场景一:为Pod自动创建并绑定EIP yangtse.io/pod-with-eip:
授予不同的权限。 本例仅用于给用户或用户组在未授权过的命名空间下新增权限,已授权的用户或用户组的权限可以在“权限管理”的列表“操作”栏中单击“编辑”进行修改。 当给用户或用户组添加多个权限时,多个权限会同时生效(取并集);为用户组设置的权限将作用于用户组下的全部用户。 在开启RB
其中,Flags分为用户名密码、AKSK和公共配置。 表1 用户名/密码配置 Command Flag Environment Value Description domain-name DOMAIN_NAME 租户名,即账号名,详情请参见https://support.huaweicloud
resourceVersion. 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 响应参数 状态码: 200 表3 响应Body参数
置请参见客户端DNS配置。 配置完成后,单击“下一步:规格确认”,单击“提交”,单击“返回无状态负载列表”。 在负载列表中,待负载状态为“运行中”,负载创建成功。您可以单击负载名进入负载详情界面,按F5查看负载实时状态。 如果需要访问负载,选择“访问配置”Tab页,查看访问地址。
使用kubectl get查看Deployment和Pod,可以看到DESIRED值为2,这表示这个Deployment期望有2个Pod,CURRENT也为2,这表示当前有2个Pod,AVAILABLE为2表示有2个Pod是可用的。 $ kubectl create -f deployment
消费情况。如需了解具体操作步骤,请参见费用账单。 欠费 在使用云服务时,账户的可用额度小于待结算的账单,即被判定为账户欠费。欠费后,可能会影响云服务资源的正常运行,需要及时充值。详细介绍请参见欠费说明。 停止计费 当云服务资源不再使用时,可以将这些资源退订或删除,从而避免继续收费。详细介绍请参见停止计费。
5.18以下版本的插件,因此插件回退版本后会导致这些Pod中的Service访问异常。插件在低于1.5.18版本时弹性到CCI的Pod不受影响。 解决方案: 方案一:将插件再升级到1.5.18及以上版本。 方案二:将Service访问异常的Pod删除重建,重建后弹性到CCI的Pod
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
