检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
编排与可视化。其作为Jenkins2.X 最核心的特性,帮助Jenkins实现从CI到CD与DevOps的转变。因此,Pipeline脚本编写是整个方案实现的关键。 Pipeline脚本大致涉及到以下概念: node(节点) 节点是一个机器,它是 Jenkins 环境的一部分,同时也是执行该流水线的实体。
在EVS控制台扩容成功后,仅扩大了云硬盘的存储容量,还需要执行后续步骤扩容逻辑卷和文件系统。 登录CCE控制台,进入集群,在左侧选择“节点管理”,单击节点后的“同步云服务器”。 登录目标节点。 使用lsblk命令查看节点块设备信息。 这里存在两种情况,根据容器存储Rootfs而不同。 Overlayfs:没
NPD插件版本过低导致进程资源残留问题 问题描述 在节点负载压力比较大的场景下,可能存在NPD进程资源残留的问题。 问题现象 登录到CCE集群的ECS节点,查询存在大量npd进程。 解决方案 升级CCE节点故障检测(简称NPD)插件至最新版本。 登录CCE控制台,进入集群,在左侧导航栏中
项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要调用接口来查询云服务器列表,那么这个IAM用户被授予的策略中必须包含允许“ecs:servers:list”的授权项,该接口才能调用成功。 IAM支持的授权项 策略包含系统策略和自定义策略
参考链接 社区v1.11与v1.13版本之间的CHANGELOG v1.12到v1.13的变化: https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.13.md v1.11到v1.12的变化:
参数说明 多可用区部署 优先模式:优先将插件的Deployment实例调度到不同可用区的节点上,如集群下节点不满足多可用区,插件实例将调度到单可用区下的不同节点。 强制模式:插件Deployment实例强制调度到不同可用区的节点上,每个可用区下最多运行一个实例。如集群下节点不满足多可
负载均衡器配置:监听器配置 客户端连接空闲超时时间 客户端连接空闲超时时间,在超过keepalive_timeout时长一直没有请求, 负载均衡会暂时中断当前连接,直到下一次请求时重新建立新的连接。 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation:
使用可信的镜像,避免使用来源不明的第三方镜像,推荐使用容器镜像服务SWR。 CCE已提供大于1.4.1-96的containerd版本,请迁移至符合要求的节点。 相关链接 社区已经发布补丁,相关信息:https://github.com/containerd/containerd/security/advi
-41110漏洞。请勿自行启用--authorization-plugin参数,同时,CCE将在优化版Docker上全面修复该漏洞。 相关链接 Docker AuthZ插件:https://www.docker.com/blog/docker-security-advisory-
参考链接 社区v1.11与v1.13版本之间的CHANGELOG v1.12到v1.13的变化: https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.13.md v1.11到v1.12的变化:
GPU驱动支持列表 当前GPU驱动支持列表仅针对1.2.28及以上版本的GPU插件。 如果您需要安装最新版本的GPU驱动,请将您的GPU插件升级到最新版本。 表1 GPU驱动支持列表 GPU型号 支持集群类型 机型规格 操作系统 Huawei Cloud EulerOS 2.0(支持GPU虚拟化)
"blacklist openvswitch" >>/etc/modprobe.d/blacklist.conf 然后重启节点,使上述设置生效。 相关链接 https://github.com/torvalds/linux/commit/cefa91b2332d7009bc0be5d951d6cbbf349f90f8
是否可选 默认值 参数说明 取值范围 yangtse.io/pod-with-eip 必选 false 是否需要跟随Pod创建EIP并绑定到该Pod。 "false"或"true" yangtse.io/eip-bandwidth-size 可选 5 带宽大小,单位为Mbit/s。
此需要在CCE界面删除相应的集群后,再删除VPC的子网。 删除集群会将集群内的节点以及运行的工作负载和服务都销毁,请谨慎操作。 不建议在ECS界面删除CCE集群中的节点。 父主题: 网络异常问题排查
会立即创建PVC和PV(创建PV会同时创建云硬盘),然后PVC绑定PV。但是当集群节点位于多AZ下时,PVC创建的云硬盘可能会与Pod调度到的节点不在同一个AZ,导致Pod无法调度成功。 解决方案 CCE提供了名为csi-disk-topology的StorageClass,也叫
安装成功。 如果驱动地址填写错误,需要将插件卸载后重新安装,并配置正确的地址。 nvidia驱动建议放在OBS桶里,并设置为公共读。 相关链接 GPU节点使用nvidia驱动启动容器排查思路 GPU插件安装 父主题: 工作负载异常问题排查
作越界。本地攻击者可以使用这一点导致拒绝服务(系统崩溃)或执行任意代码,在容器场景下拥有CAP_SYS_ADMIN权限的用户可导致容器逃逸到宿主机。目前已存在poc,但尚未发现已公开的利用代码。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 资源管理错误 CVE-2022-0185
由OCI运行时配置sysctl。 创建PodSecurityPolicy,将所有sysctl指定为false。 及时升级CRI-O版本。 相关链接 Red Hat社区漏洞公告:https://access.redhat.com/security/cve/cve-2022-0811 cr8escape:
在完成漏洞修复前,避免在集群中运行不可信的容器镜像。 CCE已发布新版本插件修复该漏洞,请关注CCE AI套件(NVIDIA GPU)版本发布记录。 相关链接 https://docs.nvidia.com/datacenter/cloud-native/container-toolkit/latest/install-guide
的丢弃错误时,nf_hook_slow() 函数会导致双重释放漏洞,本地攻击者利用此漏洞可将普通用户权限提升至 root 权限。 该漏洞是一个本地提权漏洞,需要攻击者先渗透到集群的node节点,利用难度较高。 判断方法 如果集群node节点OS是CentOS 7.6、Huawei Cloud EulerOS 1.1,由于内核版本低于3
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
