检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Webhook机制拦截目标命名空间(即命名空间包含标签node-localdns-injection=enabled)下Pod的创建请求,自动配置使用DNS缓存的Pod dnsConfig字段。未开启DNSConfig自动注入或Pod属于非目标命名空间,则需要手动给Pod配置DNSConfig。
vSphere Volume插件将不再使用,并在将来的版本中删除。 apiextensions.k8s.io/v1beta1已弃用,推荐使用apiextensions.k8s.io/v1。 apiregistration.k8s.io/v1beta1已弃用,推荐使用apiregistration
的GPU显存的使用。 本文将通过一个示例应用演示如何监控GPU资源指标,具体步骤如下: 访问Prometheus (可选)为Prometheus绑定LoadBalancer类型的Service,支持从外部访问Prometheus。 监控GPU指标 在集群中部署使用GPU能力的工作负载,将自动上报GPU监控指标。
FlexVolume废弃,建议使用CSI。 HorizontalPodAutoscaler v2版本GA,HorizontalPodAutoscaler API v2在1.23版本中逐渐稳定。不建议使用HorizontalPodAutoscaler v2beta2 API,建议使用新的v2版本API。
如需使用SeccompDefault特性,您需要为每个节点的kubelet启用--seccomp-default命令行标志。如果启用该特性,kubelet将为所有工作负载默认使用RuntimeDefault seccomp配置文件,该配置文件由容器运行时定义,而不是使用Unco
如需使用SeccompDefault特性,您需要为每个节点的kubelet启用--seccomp-default命令行标志。如果启用该特性,kubelet将为所有工作负载默认使用RuntimeDefault seccomp配置文件,该配置文件由容器运行时定义,而不是使用Unco
0/12中随机分配一个不冲突的网段供用户使用。 cidrs Array of ContainerCIDR objects 参数解释: 容器网络网段列表。1.21及新版本集群使用cidrs字段,当集群网络类型为vpc-router类型时,支持多个容器网段,最多配置20个;1.21之前版本若使用cidrs字段
ontroller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。 2. 漏洞CVE-2021-25746:用户有权限可以在创建/更新ingress时,利用‘.metadata.annotations’字段,获取到ingress-controller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。
template是Pod的定义,内容与Pod中的定义完全一致。 将上面Deployment的定义保存到deployment.yaml文件中,使用kubectl创建这个Deployment。 使用kubectl get查看Deployment和Pod,可以看到READY值为2/2,前一个2表示当前有2个Pod
11,则需要安装能够提供Metrics API的插件,您可根据集群版本和实际需求选择其中之一: Kubernetes Metrics Server:提供基础资源使用指标,例如容器CPU和内存使用率。所有集群版本均可安装。 云原生监控插件:该插件支持v1.17及以后的集群版本。 根据基础资源指标进行弹性伸缩:需将Prometheus注册为Metrics
io”。 fsType 文件类型,支持“obsfs”与“s3fs”,取值为s3fs时创建是obs对象桶,配套使用s3fs挂载;取值为obsfs时创建的是obs并行文件系统,配套使用obsfs挂载。可参考FlexVolume PV的spec.flexVolume.options.pos
io”。 fsType 文件类型,支持“obsfs”与“s3fs”,取值为s3fs时创建是obs对象桶,配套使用s3fs挂载;取值为obsfs时创建的是obs并行文件系统,配套使用obsfs挂载。可参考FlexVolume PV的spec.flexVolume.options.pos
unt Token的机制,但还是推荐使用TokenRequest的方式使用短期的Token,以提高安全性。 排查方案 CCE提供以下排查方式供用户参考(CCE 1.21及以上版本的集群均涉及): 排查集群中使用的插件版本。 若用户集群中有使用2.23.34及以下版本Prometheus
CVE-2024-9594 严重 2024-10-15 漏洞影响 使用Kubernetes Image Builder构建的镜像启用了默认SSH用户名密码(builder用户),可能允许攻击者获得对虚拟机(VM)的root访问权限。CCE节点镜像不使用Kubernetes Image Builder构建,不受该漏洞的影响。
ernetes的常用后缀。 ndots:“.”的个数小于它的域名,会优先使用search进行解析。 timeout:超时时间。 single-request-reopen:发送A类型请求和AAAA类型请求使用不同的源端口。 在界面创建工作负载时,以上几项配置默认都会创建,具体参数如下:
Always:总是拉取镜像。 imagePullPolicy: Always IfNotPresent:本地有则使用本地镜像,不拉取。 imagePullPolicy: IfNotPresent Never:只使用本地镜像,从不拉取,即使本地没有。 imagePullPolicy: Never 说明如下:
如果不需要访问集群节点的22端口,可在安全组规则中禁用22端口的访问。 如非必须,集群节点不建议绑定EIP。 如有远程登录集群节点的需求,推荐使用华为云堡垒机服务作为中转连接集群节点。 父主题: 安全加固
VPC的子网无法删除,怎么办? VPC的子网无法删除可能是因为您在CCE的集群中使用了该VPC的子网,因此需要在CCE界面删除相应的集群后,再删除VPC的子网。 删除集群会将集群内的节点以及运行的工作负载和服务都销毁,请谨慎操作。 不建议在ECS界面删除CCE集群中的节点。 父主题:
异常。建议您使用以下方式修改CoreDNS配置文件。 在forward插件用于设置 upstream Nameservers 上游 DNS 服务器。包含以下参数: prefer_udp:即使请求通过TCP传入,也要首先尝试使用UDP。 若您希望CoreDNS会优先使用UDP协议与
节点命令行检查异常处理 检查项内容 检查节点中是否存在升级所必须的命令。 解决方案 该问题一般由于节点上缺少集群升级流程中使用到的关键命令,可能会导致集群升级失败。 报错信息如下: __error_code#ErrorCommandNotExist#chage command is
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
