检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
v2搭建的Docker镜像仓库中的镜像迁移到SWR中。 准备工作 在开始迁移之前,请确保您已准备了一台安装了kubectl的服务器,用于连接源集群和目标集群。该服务器需要至少拥有5GB左右的本地磁盘空间和≥8G的内存,以确保迁移工具可以正常运行,并存储相关数据,如源集群的采集数据和目标集群的推荐数据等。
skippedCheckItemListResponse objects 跳过检查的项目列表 表5 skippedCheckItemListResponse 参数 参数类型 描述 name String 跳过检查的项目名称 resourceSelector resourceSelectorResponse
判断方法 在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。 漏洞修复方案 使用可信的镜像,避免使用来源不明的第三方镜像,推荐使用容器镜像服务SWR。 CCE已提供大于1
Kubeflow部署 Kubeflow的诞生背景 基于Kubernetes构建一个端到端的AI计算平台是非常复杂和繁琐的过程,它需要处理很多个环节。如图1所示,除了熟知的模型训练环节之外还包括数据收集、预处理、资源管理、特性提取、数据验证、模型的管理、模型发布、监控等环节。对于一个
Inheritable 集合上,这会导致在容器内的进程在以 Non-Root 用户 execve() 执行可执行文件时Inheritable和文件的Inheritable集合的交集被添加到执行完execve后的进程的Permited集合中,出现非预期的“越权“行为。需要说明的是,这个越权并没有突破 execve
bug修复,自动移除已删除的节点池 设置优先调度 注册EmptyDir调度策略 修复停用节点伸缩策略时,低于缩容阈值的节点未触发缩容的问题 修改自定义规格的内存申请与限制 当没有开启弹性伸缩的节点池时上报无法伸缩的事件 修复NPU节点在扩容过程中会再次触发扩容的问题 1.23.0 1
指Node节点,Node节点是集群的计算节点,即运行容器化应用的节点。 在云容器引擎CCE中,主要采用高性能的弹性云服务器ECS或裸金属服务器BMS作为节点来构建高可用的Kubernetes集群。 支持的节点规格 不同区域支持的节点规格(flavor)不同,且节点规格存在新增、售
约束限制: 不涉及 取值范围: 账号的项目ID 默认取值: 不涉及 cluster_id 是 String 参数解释: 集群ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 集群ID 默认取值: 不涉及 请求参数 无 响应参数 状态码: 200 表2
ter节点主要是处理调度构建作业,把构建分发到Agent实际执行,监视Agent的状态。业务构建发布的工作交给Agent进行,即执行Master分配的任务,并返回任务的进度和结果。 Jenkins的Master和Agent均可安装在虚拟机或容器中,且组合形式可多样,参见表1。 表1
客户端的 API 服务器凭据转发给第三方。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 SSRF CVE-2022-3172 中 2022-09-09 漏洞影响 CCE受影响的版本: kube-apiserver <= v1.23.10 符合上述范围的CCE集群,且配置了聚合API
io/<MODE>-version: <VERSION> # audit和warn模式的作用主要在于提供相应信息供用户排查负载违反了哪些安全行为 命名空间的标签用来表示不同的模式所应用的安全策略级别,存在以下两种格式: pod-security.kubernetes.io/<MODE>:
网络流入速率:节点上的物理网卡在不同的时间段的每秒钟接收的字节数。 网络发送丢包率:节点的物理网卡网络发送丢包速率。 网络接收丢包率:节点的物理网卡网络接收丢包率。 磁盘相关指标 磁盘读取速率:节点上的每个文件系统在不同的时间段的每秒钟读取的字节数。 磁盘写入速率:节点上的每个文件系统在不同的时间段的每秒钟写入的字节数。
容器CPU受限:Pod的每个容器在不同的时间段的CPU受限时间所占的比例。 容器网络丢包率:Pod的每个的容器在不同的时间段接收丢失的数据包总量占接收的数据包总量的比例。 其他指标 Pod 历史状态:Pod在不同时间段所处的状态。 容器历史状态:Pod的每个容器在不同的时间段所处的状态。 父主题:
4地址段的掩码作用类似,用数字来表示网络部分所占用的二进制位数,可将IPv6地址分为网络地址和主机地址两部分。而前缀长度指定了网络部分占用的位数,剩余位数则是主机地址部分,可以更加方便和灵活地表示不同的地址段。 例如,fc00:d28::/32表示一个前缀长度为32位的IPv6地
您可以将残留的资源(辅助弹性网卡会自动删除)删除。 以删除残留的弹性网卡为例,您需要前往弹性网卡界面将上一步查询到的网卡删除。 可以用ID过滤需要删除的弹性网卡,也可以通过集群ID的名称过滤需要删除的弹性网卡。 清理完成后,前往安全组页面确认该安全组已经没有关联的实例,然后前往CCE控制台即可正常删除集群。
利用runc的符号链接以及条件竞争漏洞,最终可能会导致容器逃逸,使攻击者能够访问宿主机的文件系统。 您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。
默认路径与社区原生的配置差异可能带来以下影响: 软链文件在容器挂载场景下,无法访问软链文件指向的真实路径。 例如:将容器通过hostPath的方式将主机的/var/log路径挂载进容器/mnt/log路径,此时在容器内看到/mnt/log/pods是一个异常的软链文件,无法访问/
确使用安装前/后脚本的指导,帮助您了解和使用安装前/后脚本。如果有进阶的安装脚本使用需求,可以将脚本存放在OBS中,避免脚本字符数超限等问题,详情请参见创建节点时使用OBS桶实现自定义脚本注入。 注意事项 请避免使用执行耗时过长的安装前/后脚本。 安装前脚本的时间限制为15min
确使用安装前/后脚本的指导,帮助您了解和使用安装前/后脚本。如果有进阶的安装脚本使用需求,可以将脚本存放在OBS中,避免脚本字符数超限等问题,详情请参见创建节点时使用OBS桶实现自定义脚本注入。 注意事项 请避免使用执行耗时过长的安装前/后脚本。 安装前脚本的时间限制为15min
系统会扫描过去一天的审计日志,检查用户是否调用目标K8s版本已废弃的API。 说明: 由于审计日志的时间范围有限,该检查项仅作为辅助手段,集群中可能已使用即将废弃的API,但未在过去一天的审计日志中体现,请您充分排查。 37 节点NetworkManager检查异常处理 检查节点上的NetworkManager状态是否正常。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
