检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
级别切换为节点级别,连接跟踪表将不会被清理,建议用户创建Service后不要修改服务亲和属性,如需修改请重新创建Service。 CCE Turbo集群中,仅当Service的后端对接使用主机网络(HostNetwork)的Pod时,亲和级别支持配置为节点级别。 VPC网络模式下
集群原地升级过程中会修改/etc/sudoers文件和/etc/sudoers.d/sudoerspaas文件,以获取sudo权限,更新节点上属主和属组为root的组件(例如docker、kubelet等)与相关配置文件。请登录节点执行如下命令,排查文件的可修改性。 lsattr -l /etc/sudoers
PodSecurityPolicy配置 Pod安全策略(Pod Security Policy) 是集群级别的资源,它能够控制Pod规约中与安全性相关的各个方面。 PodSecurityPolicy对象定义了一组Pod运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被系统接受。
2024-47176、CVE-2024-47177) NGINX Ingress控制器验证绕过漏洞公告(CVE-2024-7646) Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110) Linux内核权限提升漏洞公告(CVE-2024-1086)
x版本(1.2.70及以上)的CCE容器存储插件(Everest),不支持1.3.x版本的插件。 安装插件 本插件为系统默认安装,若因特殊情况卸载后,可参照如下步骤重新安装。 登录CCE控制台,单击集群名称进入集群,单击左侧导航栏的“插件中心”,在右侧找到CCE容器存储(Everest)插件,单击“安装”。
则。 登录CCE控制台,单击集群名称进入集群,在总览页面找到“集群ID”并复制。 登录VPC控制台,在左侧导航栏中选择“访问控制 > 安全组”。 在筛选栏中,选择筛选条件为“描述”,并粘贴集群ID进行筛选。 筛选结果中将会包含多个安全组,找到控制节点的安全组(以[cce集群名称]
请参见云服务器名称、节点名称与K8s节点名称说明。 如您在创建(纳管)选择将云服务器名称指定为K8s节点名称, 集群已有节点将仍使用私有IP作为K8s节点名称。 该场景下,存在部分K8s节点名称与私有IP不一致的情况,对于业务场景中将私有IP和K8s节点名称混用的场景,需做好适配
am,导致没有拉取。 解决方法 有如下两种方式可解决该问题。 使用高版本Docker(>= docker v1.11)重新打包镜像。 手动下载镜像 登录节点。 执行如下命令手动下载镜像。 ctr -n k8s.io images pull --user u:p images 使用新下载的镜像重新创建工作负载。
风险。 Gatekeeper是CCE基于开源软件进行适配并集成的精选开源插件,CCE将提供全面的技术支持服务。然而,CCE不承担因开源软件缺陷导致的业务损失责任,也不承担赔偿或额外的服务,强烈建议用户定期升级软件以修复潜在问题。 安装步骤 登录CCE控制台,单击集群名称进入集群,
在Pod中配置主机网络(hostNetwork) 背景信息 Kubernetes支持Pod直接使用主机(节点)的网络,当Pod配置为hostNetwork: true时,在此Pod中运行的应用程序可以直接看到Pod所在主机的网络接口。 配置说明 Pod使用主机网络只需要在配置中添加hostNetwork:
环境变量。 MYSQL_ROOT_PASSWORD:MySQL的root用户密码,可自定义。 MYSQL_DATABASE:镜像启动时要创建的数据库名称,可自定义。 MYSQL_USER:数据库用户名称,可自定义。 MYSQL_PASSWORD:数据库用户密码,可自定义。 图3 设置环境变量
2-r0及以上版本的集群支持该参数。 默认:30s Pod回收控制器(pod-garbage-collector-controller)配置 表8 Pod回收控制器配置参数说明 名称 参数 说明 取值 终止状态Pod触发回收的数量阈值 terminated-pod-gc-threshold 在Pod GC开始删除终
2024-10-15 漏洞影响 使用Kubernetes Image Builder构建的镜像启用了默认SSH用户名密码(builder用户),可能允许攻击者获得对虚拟机(VM)的root访问权限。CCE节点镜像不使用Kubernetes Image Builder构建,不受该漏洞的影响。 判断方法
建前做好规划和选择。 强烈建议您在创建集群前详细了解集群的网络以及容器网络模型,具体请参见容器网络。 Master节点数量与集群规模 在CCE中创建集群,Master节点可以是1个、3个,3个Master节点会按高可用部署,确保集群的可靠性。 Master节点的规格决定集群管理N
"https://{您获取的obs地址}/cluster-versions/base/cce-agent" > /tmp/cce-agent ARM系统 curl -k "https://{您获取的obs地址}/cluster-versions/base/cce-agent-arm" > /tmp/cce-agent-arm
nt两个配置参数定期回收未在使用中的镜像。如果在节点上使用docker或crictl命令行启动容器,那么在容器停止后,它将处于退出状态,但并未完全删除,这意味着该容器仍然引用着容器镜像。由于kubelet无法感知到非Pod产生的容器,也就无法感知到该容器镜像被引用,因此当kube
通过配置kubeconfig文件实现集群权限精细化管理 问题场景 CCE默认的给用户的kubeconfig文件为cluster-admin角色的用户,相当于root权限,对于一些用户来说权限太大,不方便精细化管理。 目标 对集群资源进行精细化管理,让特定用户只能拥有部分权限(如:增、查、改)。 注意事项
runc漏洞(CVE-2024-21626)对CCE服务的影响说明 漏洞详情 runc是一个基于OCI标准实现的一个轻量级容器运行工具,是Docker、Containerd、Kubernetes等容器软件的核心基础组件。近日,runc社区发布最新版本,修复了一处高危级别的容器逃逸
服务概述 直接访问Pod的问题 Pod创建完成后,如何访问Pod呢?直接访问Pod会有如下几个问题: Pod会随时被Deployment这样的控制器删除重建,那访问Pod的结果就会变得不可预知。 Pod的IP地址是在Pod启动后才被分配,在启动前并不知道Pod的IP地址。 应用往
云容器引擎(CCE)和应用管理与运维平台(ServiceStage)的区别是什么? 对于使用者而言,云容器引擎关注的重点是Pod的部署,应用管理与运维平台关注的是服务的使用。 对于技术实现来看,应用管理与运维平台是对云容器引擎的再一次封装。 基础概念 云容器引擎(CCE) 云容器引擎(Cloud
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
