检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用docker命令将镜像迁移至SWR 场景描述 容器镜像服务提供了简便、易用的镜像托管和高效分发业务。当要迁移的镜像数量较少时,企业可以通过简单的docker pull、docker push命令行,将之前维护的镜像迁移到SWR上。 操作步骤 从源仓库下载镜像。 使用docker
如何制作Docker镜像?如何解决拉取镜像慢的问题? Docker镜像制作 关于如何通过Dockerfile定制一个简单的Web应用程序的Docker镜像,请参见Docker基础知识或如何制作Docker镜像? 拉取镜像加速 由于运营商网络问题可能导致公共镜像仓库中的镜像拉取速度
关于CCE集群Docker支持策略公告 发布时间:2024/02/19 Kubernetes社区已在v1.24版本移除dockershim,默认不再支持Docker运行时。考虑到当前仍然有部分用户使用Docker,CCE将继续支持创建Docker节点。 建议您在新建节点时选择更加
本次漏洞对所有采用runc的容器引擎均生效,runc是Docker容器的核心组件,因此对绝大部分容器均会产生影响。其中主要影响的是多用户共享节点的场景,可导致某用户通过渗透进而控制节点并攻击整集群。 华为云CCE容器服务: CCE容器服务创建的Kubernetes集群属于单租户专属
将节点容器引擎从Docker迁移到Containerd Kubernetes在1.24版本中移除了Dockershim,并从此不再默认支持Docker容器引擎。CCE计划未来移除对Docker容器引擎的支持,建议您将节点容器引擎从Docker迁移至Containerd。 前提条件
容器镜像服务支持使用Docker 1.11.2及以上版本上传镜像。 安装Docker、构建镜像建议使用root用户进行操作,请提前获取待安装docker机器的root用户密码。 以root用户登录待安装Docker的机器。 以CentOS Linux操作系统为例,您可以使用如下
Docker资源管理错误漏洞公告(CVE-2021-21285) 漏洞详情 Docker是一款开源的应用容器引擎,支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。 Docker 19.03.15和20.10
Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110) Docker是一个开源的应用容器引擎,Docker Engine是Docker可移植的容器运行时,而Docker的AuthZ插件可用于控制和限制对Docker守护进程的API请求。 漏洞详情
鲲鹏集群Docker容器挂载点被卸载 故障现象 鲲鹏集群Docker容器挂载点被卸载。 问题根因 鲲鹏集群节点为EulerOS 2.8系统时,如果在Docker服务文件中配置了MountFlags=shared字段,会因为systemd特性的原因导致容器挂载点被卸载。 解决方法
如果无回显则说明节点不受此问题影响。 解决方法 以root用户登录node节点。 执行如下命令: sed -i "/\/var\/lib\/docker -k docker/d" /etc/audit/rules.d/docker.rules service auditd restart
11 漏洞修复方案 修改主机内核参数配置net.ipv6.conf.all.accept_ra值为0,以拒绝接收IPv6路由发布。 业务容器结合使用TLS和适当的证书验证,防止中间人欺骗。 禁止在Pod中设置CAP_NET_RAW能力,防止恶意容器篡改IPv6路由: securityContext:
容器可以被创建、启动、停止、删除、暂停等。 操作步骤 以root用户登录到安装有Docker的服务器上。 进入apptest目录。 cd apptest 此处必须确保制作镜像的文件均在同个目录下。 构建镜像。 docker build -t apptest:v1 . 上传镜像到容
使用Jenkins构建流水线 获取长期的docker login命令 在Jenkins安装部署过程中,已经完成了容器中执行docker命令的配置(参见9),故Jenkins对接SWR无需额外配置,可直接执行docker命令。仅需获取长期有效的SWR登录指令,具体步骤请参见获取长期有效docker login指令。
漏洞类型 CVE-ID 漏洞级别 披露/发现时间 Docker容器逃逸 CVE-2020-15257 中 2020-11-30 漏洞影响 CCE集群版本:v1.9-v1.17.9。 如果没有使用主机网络并且容器内进程不以root用户(UID为0)运行,则不涉及该漏洞。 漏洞修复方案
修改最大文件句柄数 最大文件句柄数即打开文件数的最大限制,Linux系统中包含两个文件句柄限制:一个是系统级的,即所有用户的进程同时打开文件数的上限;一种是用户级的,即单个用户进程打开文件数的上限。但是在容器中,还有另一个文件句柄限制,即容器内部单进程最大文件句柄数。 修改节点系统参数的
解决方案 问题场景:节点使用的docker为定制的Euler-docker而非社区的docker 登录相关节点。 执行rpm -qa | grep docker | grep euleros命令,如果结果不为空,说明节点上使用的docker为Euler-docker。 执行stat /r
检查节点上的Pod是否直接挂载docker/containerd.sock文件。升级过程中Docker/Containerd将会重启,宿主机sock文件发生变化,但是容器内的sock文件不会随之变化,二者不匹配,导致您的业务无法访问Docker/Containerd。Pod重建后sock文件重新挂载,可恢复正常。
统只读、节点被标记disk-pressure污点及节点不可用状态等。 用户可手动在节点上执行docker info查看当前thinpool空间使用及剩余量信息,从而定位该问题。如下图: 问题原理 docker devicemapper模式下,尽管可以通过配置basesize参数限
27及以上集群。CCE不建议您在1.27以上版本集群中继续使用docker,并计划在未来移除对docker的支持。 解决方案 若您的节点的运行时非containerd,您可通过节点重置功能重置节点的运行时为containerd。 如果您仍想在1.27以上集群中创建并使用docker节点,可
检查节点镜像数量异常处理 检查项内容 检查到您的节点上镜像数量过多(>1000个),可能导致docker启动过慢,影响docker标准输出,影响nginx等功能的正常使用。 解决方案 请手动删除残留的镜像,防止后续升级异常; 删除镜像之后请您重新进行升级前检查 父主题: 升级前检查异常问题排查
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
