检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
-controller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2021-25745 中 2022-4-16 权限提升 CVE-2021-25746 中 2022-4-16 漏洞影响
攻击者可利用该漏洞提升权限。本文介绍该漏洞的影响范围、漏洞影响和防范措施。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 其它 CVE-2020-8559 中 2020-07-15 漏洞影响 由于kube-apiserver中在升级请求的代理后端中允许将请求
易受攻击的主机上获得root特权。 sudo是一个功能强大的实用程序,大多数基于Unix和Linux的操作系统都包含sudo。它允许用户使用其他用户的安全特权运行程序。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2021-3156 高 2021-01-26
Exporter、collectd、Datadog代理、New Relic代理,或Ganglia gmond。 一种简单的用法是为每种类型的守护进程在所有的节点上都启动一个DaemonSet。一个稍微复杂的用法是为同一种守护进程部署多个DaemonSet;每个具有不同的标志, 并且对不同硬件类型具有不同的内存、CPU要求。
迁移pod数量不超过300 迁移速率设置过大可能引入集群过载风险,同时每批迁移重调度的pod过多,大量pod无法及时调度,影响整体故障恢复时间 次级节点迁移速率 当一个区域不健康造成节点失效时,每秒钟从此标志所给的节点上删除 Pod 的节点数比例 参数名 取值范围 默认值 是否允许修改
图1 添加污点 污点添加成功后,再次进入该界面,在节点数据下可查看到已经添加的污点。 通过kubectl命令管理污点 节点污点是与“效果”相关联的键值对。以下是可用的效果: NoSchedule:不能容忍此污点的 Pod 不会被调度到节点上;现有 Pod 不会从节点中逐出。 Pref
处理资源不足或创建失败情况处理: 如果首选规格因可用区资源售罄或配额不足等原因创建失败,将按照节点池内规格优先级的顺序,尝试创建下一个优先级的规格,原实例进入5分钟的冷却时间。 如果一个节点池中的所有规格都无法成功创建实例,系统将顺延至下一个优先级的节点池继续尝试。 手动扩容策略 当节点池进行手动扩缩容时,您可
DNS 服务器配置为返回具有该外部主机名值的 CNAME 记录。 无需创建任何类型代理。 配置建议: 根据业务诉求配置类型 服务标签 服务的标签是service上标记的键值对,旨在用于指定对用户有意义且相关的对象的标识属性 参数名 取值范围 默认值 是否允许修改 作用范围 labels
0,建议迁移至通用文件系统(SFS 3.0)或SFS Turbo。 根据工作负载类型不同,应用可实现的存储挂载方式也不同。此处动态挂载和静态挂载是从工作负载挂载存储卷的方式进行区分的。 动态挂载:仅有状态工作负载支持使用动态挂载,该功能通过volumeClaimTemplates字段实
v1.23 v1.25 v1.27 适配CCE v1.27集群 1.3.10 v1.19 v1.21 v1.23 v1.25 周期规则不受冷却时间影响定时触发 1.3.7 v1.19 v1.21 v1.23 v1.25 支持插件实例AZ反亲和配置 1.3.3 v1.19 v1.21 v1
计划使用或已配置使用networkpolicy规则。 排查方法 快速排查方法(适用于节点为按需计费类型) 若您的节点为按需计费类型,可从cce-console上查看节点创建时间,对创建于2021年2月24日及之后的新建CentOS 7.6节点已无该问题。 准确排查方法(通用) 若您的集群版本为v1.15.6-r1
是和node上的dns配置是一样的。 ClusterFirst:相对于上述的Default,ClusterFirst是完全相反的操作,它会预先把kube-dns(或CoreDNS)的信息当作预设参数写入到该Pod内的DNS配置。ClusterFirst是默认的pod设置,若没有在
失败,每天凌晨3:00尝试一次,直至资源到期或者续费成功。 开通自动续费后,还可以手动续费该资源。手动续费后,自动续费仍然有效,在新的到期时间前的第7天开始扣款。 自动续费的到期前7日自动扣款属于系统默认配置,您也可以根据需要修改此扣款日,如到期前6日、到期前5日等等。 更多关于
可观测性体系概述 云原生可观测性是指在云原生架构中,通过使用各种工具和技术来实现对应用程序和基础设施的监控告警、日志、故障排除等功能的一套完整的解决方案。本文介绍云容器引擎CCE可观测性架构分层和主要的可观测能力,以帮助您对CCE云原生可观测性生态有一个全面的认识。 图1 可观测性体系
容器隧道网络(Overlay):基于底层VPC网络构建了独立的VXLAN隧道化容器网络,适用于一般场景。VXLAN是将以太网报文封装成UDP报文进行隧道传输。容器网络是承载于VPC网络之上的Overlay网络平面,具有付出少量隧道封装性能损耗,即可获得通用性强、互通性强、高级特性支持全面(例如Network
GPU),且插件的metrics API正常工作。您可以登录GPU节点,执行以下命令进行检查: curl {Pod IP}:2112/metrics 其中{Pod IP}是GPU插件的Pod IP,返回指标结果则为正常。 在集群中安装3.9.5及以上版本的云原生监控插件,且部署模式需选择“本地数据存储”。 采集GPU指标
对于增加超卖资源类型,如超卖资源由CPU变为CPU、内存,此时可以随时添加。 对于减少超卖资源类型,如由CPU、内存变为仅超卖CPU,此时需要在合适的时间进行更改,即分配率不超过100%时才可进行安全更改。 参数配置完成后,单击“确定”。 父主题: 云原生混部
13版本,2019年9月底将提供补丁进行修复。针对低于Kubernetes 1.13集群版本将提供升级能力。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 拒绝服务攻击 CVE-2019-9512 高 2019-08-13 资源管理错误 CVE-2019-9514 高 2019-08-13 漏洞影响
创建密钥 操作场景 密钥(Secret)是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型,内容由用户决定。资源创建完成后,可在容器工作负载中作为文件或者环境变量使用。 约束与限制 静态Pod中不可使用Secret。 操作步骤 登录CCE控制台,单击集群名称进入集群。
集群Kubernetes审计日志说明 类别 组件 日志流 说明 控制面审计日志 audit audit-{{clusterID}} 集群审计日志提供了与安全相关的、按时间顺序排列的记录集,记录每个用户使用Kubernetes API的应用以及控制面自身引发的活动。 开启集群控制面审计日志 创建集群时开启 登录云容器引擎(CCE)控制台。