检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
节点的内存超过了节点内存预留的上限,导致触发OOMkill。 解决方法: 可扩容节点或迁移节点中的pod至其他节点。 场景二 pod的内存的limit设置较小,实际使用率超过limit,导致容器触发了OOMkill。 解决方法: 扩大工作负载内存的limit设置。 示例 本例将创建一个
>,以实现在容器运行后访问节点文件系统。 漏洞影响 满足上述漏洞利用条件时,容器进程可能逃逸到节点,导致节点信息泄露或执行恶意命令。 判断方法 集群版本范围为v1.21.1-r0 - v1.21.12-r2,v1.23.1-r0 - v1.23.11-r2,v1.25.1-r0 -
但在内核中没有释放cssid,导致内核认为的cgroup的数量实际数量不一致,残留的cgroup达到节点上限后,导致该节点无法继续新建Pod。 解决方法 该问题可以通过可以在内核层全局使用 “cgroup.memory=nokmem” 参数关闭kmem使用防止发生泄漏。 1.17集群版本已停止维护,修复该问题建议升级至1
其他类型的节点不涉及该问题。 上述问题在v1.19.16-r7、v1.21.9-r10、v1.23.7-r10版本的集群中被修复。 解决方法 若您的集群版本为v1.19.16-r7、v1.21.9-r10、v1.23.7-r10及以上,该版本的节点已经切换至chronyd时间同步,请重置节点即可修复该问题。
EulerOS 2.9:内核版本kernel-4.19.90-vhulk2103.1.0.h819.eulerosv2r9.aarch64 解决方法 若您的集群版本为1.19.16-r0、1.21.7-r0、1.23.5-r0、1.25.1-r0及以上,请将节点重置为最新版本的操作系统即可修复该问题。
存储卷PV基础配置 存储卷类型 存储卷类型包含CCE所对接的华为云底层存储类型 参数名 取值范围 默认值 是否允许修改 作用范围 Volume Type 四种类型:云硬盘、文件存储、对象存储、极速文件存储 无 支持初始化时配置,不支持后续修改 - CCE当前对接的华为云底层存储类
Autopilot集群 10:36 CCE Autopilot:全面”自动驾驶”时代的引领者 入门操作 容器基础 了解容器基础使用方法 19:38 1 了解容器基础使用方法 Kubernetes集群架构 介绍Kubernetes集群架构 4:46 2 Kubernetes集群架构 创建Kubernetes集群
CUPS 打印系统的 Unix 设备,若同时启用了 cups-browsed 服务,可能面临被远程攻击的风险,从而危及用户设备的安全。 判断方法 您可以在节点上执行以下命令查看是否安装CUPS相关服务: systemctl status cups-browsed 显示如下: 结果返回
O环上的新增请求,最终表现为前端IO卡住。 影响范围 对CentOS Linux内核3.10.0-1127.el7之前的版本有影响。 解决方法 通过重置节点将内核升级至高版本,具体请参见重置节点。 父主题: 节点运行
容器内进程使用非root用户启动的进程可以通过为工作负载配置安全计算模式seccomp,建议配置RuntimeDefault模式或者禁用unshare等系统调用。具体配置方法可参考社区官方资料使用 Seccomp 限制容器的系统调用。 Ubuntu镜像自带openvswitch内核模块,可以通过将禁止加载openvswitch
OOM在CentOS 7会偶现触发ext4文件系统卡死,ext4/jbd2会因为死锁而永远挂起。在文件系统上执行I/O的所有任务都将受到影响。 解决方法 临时解决方案:该问题触发后可以通过重启节点临时恢复。 长久解决方案: 若您的集群版本为1.19.16-r0、1.21.7-r0、1.23
式简单易用。 本例主要演示如何使用镜像创建一个公开的WordPress网站。 前提条件 已创建一个包含4核8G节点的CCE集群。创建集群的方法,请参见快速创建Kubernetes集群。 已根据步骤1:部署MySQL部署MySQL数据库,本例中WordPress的数据将保存在该数据库中。
类似下图: 此时模板实例无法正常工作。如果您尝试在界面上删除,可能会出现deletion failed的报错,模板实例仍在列表中: 解决方法 您可以使用kubectl命令删除残留的模板实例。 删除残留的模板实例无法从根本上解决该问题。为避免该问题再次发生,建议您及时更新模板中资
xecReload),进而在宿主机中执行任意操作。 CCE集群未使用runc的systemd cgroup特性,因此不受此漏洞影响。 判断方法 您可以在节点上执行命令查看容器引擎使用的cgroup。 容器引擎为containerd的节点,执行以下命令: crictl info |grep
集群备份 功能介绍 集群备份 调用方法 请参见如何调用API。 URI POST /api/v3.1/projects/{project_id}/clusters/{cluster_id}/operation/snapshot 表1 路径参数 参数 是否必选 参数类型 描述 project_id
controller使用。 设置HPA规则,使用ELB的监控数据作为弹性伸缩指标。 图1 ELB流量与监控数据示意图 本文介绍的方法不限于ELB指标,其他指标可按照类似方法操作。 前提条件 本实践需要您熟悉Prometheus。 在集群中安装基于开源Prometheus的云原生监控插件(k
列表中。 图3 容器网络配置列表 本节说明通过kubectl命令创建命名空间类型的NetworkAttachmentDefinition的方法。 请参见通过kubectl连接集群,使用kubectl连接集群。 修改networkattachment-test.yaml。 vi n
CRI运行时,且使用了未知来源的恶意镜像。使用docker作为CRI时不涉及该漏洞。 containerd版本号小于1.4.1-96。 判断方法 在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于
Engine的用户不易受到影响。 当前CCE采用华为优化的Docker容器,未启用Docker的AuthZ插件,因此不会触发该漏洞。 判断方法 您可以在节点上执行命令查看Docker使用的插件。 容器引擎为Docker的节点,执行以下命令: ps –elf | grep docker
04/EulerOS 2.5/EulerOS 2.9(低版本内核)/Huawei Cloud EulerOS 1.1操作系统则存在此问题。 解决方法 考虑采用NodeLocal DNSCache缓存方案,可以容忍IPVS丢包,具体操作请参见使用NodeLocal DNSCache提升DNS性能。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
