检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
授权方式:用户进入云原生成本治理页面,界面会自动弹出“确认授权”页面,用户单击“确认授权”按钮后系统自动完成授权。所授予的权限类型请参考表1。 表1 资源权限 授权类型 权限名称 描述 CCE IAM ReadOnlyAccess 云原生成本治理获得该权限后,支持子用户进行访问云原生成本治理,因此需要获得该权限。
capability不为空,可能会造成在execve执行可执行文件时提升到允许的cap集合。该问题已被收录为CVE-2022-24769。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2022-24769 低 2022-3-24 漏洞影响 containerd创建容器时默认把
create -f ingress-test.yaml 回显如下,表示Ingress服务已创建。 ingress/ingress-test created 查看已创建的Ingress。 kubectl get ingress 回显如下,表示Ingress服务创建成功。 NAME
不再支持通过更新节点池接口创建包周期节点,需要通过扩缩容新建包周期节点。 包周期节点池中默认创建的节点不再是包周期节点,而是按需节点。 表1 节点池升级前后的行为对比 类型 升级前 升级后 按需节点池 包年/包月节点池 支持的节点类型 仅按需 仅包年/包月 同时支持按需和包年/包月
Ingress配置了HTTPS证书后访问异常的原因有哪些? 为ELB Ingress配置了HTTPS证书后,如果证书配置出现以下问题,可能导致访问异常,您可以参考表格中的原因进行排查。 访问异常原因 问题现象 解决方案 证书已过期 通过curl命令测试时报错信息如下: SSL certificate problem:
storage: 1Gi # 存储容量,单位为Gi,对OBS桶来说,此处仅为校验需要(不能为空和0),设置的大小不起作用,此处设定为固定值1Gi 表1 关键参数说明 参数 描述 volume.beta.kubernetes.io/storage-class 桶类型,当前支持标准(obs-
普通工作负载:未添加指定污点的容忍度,无法调度至GPU/NPU节点。 操作步骤如下: 登录CCE控制台,单击集群名称进入集群。 在左侧列表中选择“节点管理”,勾选GPU/NPU节点,并单击“标签与污点管理”。 单击“新增批量操作”,为GPU/NPU节点添加污点。 选择“污点(T
volume-49f1 其中: deleteVolume:删除PersistentVolume后是否保留后端关联的云存储。false表示不删除,ture表示删除,默认为false。 说明: 当为efs时,不支持删除存储,所以不能设为true。 storageType:云存储的类型,和
录指令。 验证远程证书:建议取消勾选。 配置同步规则。 新建规则 填写如下参数。 名称:自定义。 复制模式:选择“Push-based”,表示把镜像由本地Harbor推送到远端仓库。 源资源过滤器:根据填写的规则过滤Harbor上的镜像。 目标仓库:选择1中创建的目标。 目标 名称空间:填写SWR上的组织名称。
/lib/systemd/system/containerd.service LimitNOFILE或LimitNPROC参数设置为infinity时,表示容器单进程最大文件句柄数为1048576。 容器单进程最大文件句柄数通过以下参数设置: ... LimitNOFILE=1048576 LimitNPROC=1048576
可能的最大Pod数为13。在该工作负载注解中,指定了Pod延时启动时间为20s,在该时间内保证Pod正常启动后,跨VPC网络可正常访问。 表1 Pod延迟启动annotation配置 注解 默认值 参数说明 取值范围 cni.yangtse.io/readiness-delay-seconds
单击“安装”。 组件说明 表2 metrics-server组件 容器组件 说明 资源类型 metrics-server 集群核心资源监控数据的聚合器,用于收集和聚合集群中通过Metrics API提供的资源使用指标。 Deployment 版本记录 表3 Kubernetes Metrics
300mb 40mb 参数单位支持k、kb、m、mb、g、gb(不区分大小写),如果不填写单位则表示以字节为单位。 设置插件实例的部署策略。 调度策略对于DaemonSet类型的插件实例不会生效。 表1 插件调度配置 参数 参数说明 多可用区部署 优先模式:优先将插件的Deploymen
Repo卷的Pod来执行容器外的任意命令。攻击者可以利用目标Git仓库中的钩子(hooks)目录,实现容器逃逸并执行攻击命令。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2024-10220 高 2024-11-22 漏洞影响 受影响的集群版本如下:
canary: 'true' #设置为true,表示启用canary注解功能 kubernetes.io/elb.canary-weight: '40' #权重值设置,表示对应请求40%的流量将被导流到新版本服务上 kubernetes
VPC网络模型安全组规则 Node节点安全组 集群自动创建的Node节点安全组名称为{集群名}-cce-node-{随机ID},默认端口说明请参见表1。 表1 VPC网络模型Node节点安全组默认端口说明 方向 端口 默认源地址 说明 修改建议 修改后影响 入方向规则 UDP:全部 VPC网段
com/${organization}/${build_name}:${build_tag} ." //${build_tag}表示获取上文中的build_tag变量作为镜像标签,为git rev-parse --short HEAD命令的返回值,即commit ID。
5.0,则检查log-agent-otel-collector工作负载的标准输出。 可在插件中心单击 “云原生日志采集插件”名称,在“实例列表”中选择 log-agent-otel-collector 最右侧的日志查看。 图7 查看log-agent-otel-collector实例日志
S服务器的IP地址列表。默认会添加NodeLocal DNSCache的地址,以及CoreDNS的地址,允许用户额外追加1个地址,重复的IP地址将被删除。 搜索域search(可选):定义域名的搜索域列表,当访问的域名不能被DNS解析时,会把该域名与搜索域列表中的域依次进行组合,
中,造成中间人攻击。同理,攻击者通过修改Service对象的status.loadBalancer.ingress.ip也能达到此目的。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 流量劫持 CVE-2020-8554 中 2020-12-07 漏洞影响 对
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
