检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
edule污点。 驱逐节点负载 上报Kuberentes事件,并为节点添加NoExecute污点。该操作会驱逐节点上的负载,可能导致业务不连续,请谨慎选择。 NPD检查项 当前检查项仅1.16.0及以上版本支持。 NPD的检查项主要分为事件类检查项和状态类检查项。 事件类检查项
check_frequency_failed_threshold 否 Int 插件判断NPU设备状态不健康的阈值次数 默认值:100 check_frequency_fall_times 否 Int 判断芯片主频降级是否隔离的门限 默认值:3 check_frequency_gate
升级实例过程中实现业务不中断 应用场景 在Kubernetes集群中,应用通常采用Deployment + LoadBalancer类型Service的方式对外提供访问。应用更新或升级时,Deployment会创建新的Pod并逐步替换旧的Pod,这个过程中可能会导致服务中断。 解决方案
1及更早版本的环境中,攻击者通过运行一个恶意镜像,可能实现容器逃逸,从而获得主机系统的访问权限。成功利用此漏洞可能会导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 判断方法 如果集群未安装CCE AI套件(NVIDIA GPU)插件或插件版本低于2.0.0,则不涉及该漏洞。 CCE AI套件(NVIDIA
CPU、内存,也可以通过自定义指标,例如QPS、连接数等进行伸缩。但是存在一个问题:基于指标的伸缩存在一定的时延,这个时延主要包含:采集时延(分钟级) + 判断时延(分钟级) + 伸缩时延(分钟级)。这个分钟级的时延,可能会导致应用CPU飚高,响应时间变慢。为了解决这个问题,CCE提供了定时策略,
等资源进行更新。如果您需要在升级工作负载过程中实现业务不中断,可以设置更新策略为逐步更新,在控制更新过程中存在可用的Pod数量,确保服务的连续性和减少停机时间。例如,对于一个有多个Pod的Deployment,您在滚动更新时可以控制最多可以有多少老Pod处于不可用状态、最多有多少
创建有状态负载(StatefulSet) 操作场景 在运行过程中会保存数据或状态的工作负载称为“有状态工作负载(statefulset)”。例如MySQL,它需要存储产生的新数据。 因为容器可以在不同主机间迁移,所以在宿主机上并不会保存数据,这依赖于CCE提供的高可用存储卷,将存
有状态负载(StatefulSet) 有状态负载(StatefulSet) Deployment控制器下的Pod都有个共同特点,那就是每个Pod除了名称和IP地址不同,其余完全相同。需要的时候,Deployment可以通过Pod模板创建新的Pod;不需要的时候,Deployment就可以删除任意一个Pod。
Turbo 等待客户端请求超时时间,包括两种情况: 读取整个客户端请求头的超时时长:如果客户端未在超时时长内发送完整个请求头,则请求将被中断 两个连续body体的数据包到达LB的时间间隔,超出client_timeout将会断开连接。 取值范围为1-300s,默认值为60s。 使用说明:
@$%^-_=+[{}]:,./?)中的三种。 密码不能包含用户名或用户名的逆序。 Windows系统密码不能包含用户名或用户名的逆序,不能包含用户名中超过两个连续字符的部分。 Python 以下是Python 3.7.7环境下对密码进行加盐的示例步骤: pip install passlib python
um>,以实现在容器运行后访问节点文件系统。 漏洞影响 满足上述漏洞利用条件时,容器进程可能逃逸到节点,导致节点信息泄露或执行恶意命令。 判断方法 集群版本范围为v1.21.1-r0 - v1.21.12-r2,v1.23.1-r0 - v1.23.11-r2,v1.25.1-r0
查看操作系统的错误日志。 cat /var/log/messages | grep $containerID | grep oom 根据日志判断是否触发了系统OOM。 排查思路 根据具体事件信息确定具体问题原因,如表1所示。 表1 容器启动失败 日志或事件信息 问题原因与解决方案 日志中存在exit(0)
用实例都是独立的,且实例之间没有运行状态的差异,因此即使某个实例发生故障,它负责接受的请求也可以被重新分配给其他健康的实例,从而保证服务的连续性。由于无状态负载实例相互独立、可替换的特性,您可以根据实时的业务需求灵活调整实例数量,比如在流量高峰期增加实例数量来分担压力。 本文将使
该漏洞是由OpenSSH服务器 (sshd) 中的信号处理程序竞争问题引起。攻击者可以利用此漏洞,以未授权的形式在Linux系统上用root身份执行任意代码。 判断方法 查看节点操作系统及openssh版本: 如果集群node节点OS是EulerOS、Huawei Cloud EulerOS 1.1和
1-98版本的containerd作为kuberentes CRI运行时。 2. CCE集群containerd版本低于1.5.11以下的集群。 判断方法 在node节点上使用root用户执行containerd --version查看containerd版本。 新Console上的“节点管理”处也可以查看运行时版本。
signature on /dev/vdb. Physical volume "/dev/vdb" successfully created 创建VG。 判断该节点的docker盘,如果是/dev/vdb和/dev/vdc两个盘,则执行下面的命令: root@host1:~# vgcreate vgpaas
往一个基本物理卷上写入,当存储空间占满时再往另一个基本物理卷写入。 条带化(striped):创建逻辑卷时指定条带化,当实际写入数据时会将连续数据分成大小相同的块,然后依次存储在多个物理卷上,实现数据的并发读写从而提高读写性能。条带化模式的存储池不支持扩容。多块存储卷才能选择条带化。
使用容器镜像服务(SWR)时,如果您的镜像是通过在SWR获取的,上传到镜像仓库的镜像会进行digest校验,此场景不受影响。 该漏洞不会影响运行中的容器。 判断方法 如果节点是EulerOS和CentOS,可以用如需命令查看安全包版本: rpm -qa |grep docker 使用EulerOS
节点被判定不可缩容后能再次启动检查的时间间隔,单位分钟,默认值:5。 scaleDownUtilizationThreshold 否 double 判断节点可缩容的cpu和内存资源使用率门限,默认0.5。 maxNodesTotal 否 int 集群扩容的节点数量上限,默认1000。 coresTotal
从Pod访问同一VPC网络的云服务 集群的容器网络模型不同,集群内的从Pod访问同一VPC网络的云服务的方式也不同,请参见表1 从Pod访问云服务的方式(同一VPC)。 表1 从Pod访问云服务的方式(同一VPC) 容器网络模型 方式 容器隧道网络 容器隧道网络在节点网络基础上通
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
