检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
您可按需选择每一个系统预置采集任务的指标采集行为进行管理: 若您选择采集全量指标,则会采集该采集任务的所有指标。 若您选择指标采集白名单,则可以按需编辑白名单(基础免费指标无需添加),更加精确的控制自定义采集内容,降低您集群的资源消耗及指标上报成本。 采集任务周期管理 您可以按需对特定的系统采集任务的采集周期进行个性化配置。
节点NetworkManager检查异常处理 检查项内容 检查节点上的NetworkManager状态是否正常。 解决方案 请登录该节点,执行systemctl is-active NetworkManager命令查询NetworkManager服务运行状态。若回显状态异常,请执行systemctl
aom_auth_type 否 String 对接AOM的认证类型,对接AOM时必选,取值固定Bearer aom_app_key 否 String 对接AOM的app_key,对接AOM时必选 aom_app_secret 否 String 对接AOM的app_secret,对接AOM时必选 deploy_mode
利用runc的符号链接以及条件竞争漏洞,最终可能会导致容器逃逸,使攻击者能够访问宿主机的文件系统。 您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。
管理节点标签 节点标签可以给节点打上不同的标签,给节点定义不同的属性,通过这些标签可以快速的了解各个节点的特点。 节点标签使用场景 节点标签的主要使用场景有两类。 节点管理:通过节点标签管理节点,给节点分类。 工作负载与节点的亲和与反亲和:通过为节点添加标签,您可以使用节点亲和性
通过节点的标签和标签值划分节点范围,将节点分为不同的拓扑域。 例如,topologyKey为prefer,表示可以通过节点标签prefer划分拓扑域。拓扑域1的范围为带有prefer=true标签的节点,拓扑域2的范围为带有prefer=false标签的节点,拓扑域3的范围为不带prefer标签的节点。
Linux系统内核在3.15-6.8中的netfilter: nf_tables组件存在释放后重利用漏洞,nft_verdict_init() 函数允许在钩子判定中使用正值作为丢弃错误,当 NF_DROP 发出类似于 NF_ACCEPT 的丢弃错误时,nf_hook_slow()
攻击者可以使用这一点导致拒绝服务(系统崩溃)或执行任意代码,在容器场景下拥有CAP_SYS_ADMIN权限的用户可导致容器逃逸到宿主机。目前已存在poc,但尚未发现已公开的利用代码。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 资源管理错误 CVE-2022-0185
节点关闭,并可以优雅地终止该节点的Pod。在此更新之前,当节点关闭时,其Pod没有遵循预期的终止生命周期,这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统,并通知正在运行的Pod,使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes
节点关闭,并可以优雅地终止该节点的Pod。在此更新之前,当节点关闭时,其Pod没有遵循预期的终止生命周期,这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统,并通知正在运行的Pod,使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes
当出现以上报错内容时,说明模板Chart.yaml文件中的name和version字段和模板包名称不一致。 如果您需要自定义模板包的名称和版本,需要同步修改Chart.yaml文件中的name和version字段。 解决方案 查看模板Chart.yaml文件中的name和version字段。 例如,
子路径 请输入存储卷的子路径,将存储卷中的某个路径挂载至容器,可以实现在单一Pod中使用同一个存储卷的不同文件夹。如:tmp,表示容器中挂载路径下的数据会存储在存储卷的tmp文件夹中。不填写时默认为根路径。 权限 只读:只能读容器路径中的数据卷。 读写:可修改容器路径中的数据卷,容器迁
io/zone为key做多实例副本软的反亲和部署。优先将插件的容器实例调度到不同可用区的节点上,如集群下节点不满足多可用区,插件实例将调度到单可用区下的不同节点。 强制模式:以拓扑域topology.kubernetes.io/zone为key做多实例副本硬反亲和部署。插件容器实例强制调度到不同可用区的节点上
参数解释 apiVersion 是 api版本号。 kind 是 创建的对象类别。 metadata 是 资源对象的元数据定义。 name 是 Pod的名称。 spec 是 spec是集合类的元素类型,pod的主体部分都在spec中给出。具体请参见表2。 表2 spec数据结构说明
e 默认取值: 不涉及 X-Auth-Token 是 String 参数解释: 调用接口的认证方式分为Token和AK/SK两种,如果您使用的Token方式,此参数为必填,请填写Token的值,获取方式请参见获取token。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及
外部安全研究人员披露sudo中的堆溢出漏洞(CVE-2021-3156),该漏洞在类似Unix的主要操作系统上都可以使用。在其默认配置下会影响从1.8.2到1.8.31p2的所有旧版本以及从1.9.0到1.9.5p1的所有稳定版本。成功利用此漏洞,任何没有特权的用户都可以在易受攻击的主机上获得root特权。
Pod回收控制器(pod-garbage-collector-controller)配置 终止状态pod触发回收的数量阈值 集群中可保留的终止状态Pod数量,超出该数量终止状态Pod将会被删除回收 参数名 取值范围 默认值 是否允许修改 作用范围 terminated-pod-gc-threshold
请求至kube-apiserver的QPS配置 与kube-apiserver通信的qps 参数名 取值范围 默认值 是否允许修改 作用范围 kube-api-qps 大于等于0 100 允许 CCE Standard/CCE Turbo 与kube-apiserver通信的qps 默认值100;1000节点以上规格值为200
5-r0及以上补丁版本或1.25版本。 请确保云日志服务LTS资源配额充足,LTS的默认配额请参见基础资源。 集群控制面组件说明 当前CCE支持收集以下三种类型的控制面日志,每个日志流对应一个Kubernetes控制层面组件。关于这些组件的更多信息,请参见Kubernetes组件。 表1 集群控制面组件说明
enable-resource-quota true/false false 允许 1.21版本以上的CCE Standard/CCE Turbo集群 通过配额管理功能,用户可以对命名空间或相关维度下的各类负载(deployment, pod等)数量以及资源(cpu, memory)上限进行
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
