正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Linux系统内核在3.15-6.8中的netfilter: nf_tables组件存在释放后重利用漏洞,nft_verdict_init() 函数允许在钩子判定中使用正值作为丢弃错误,当 NF_DROP 发出类似于 NF_ACCEPT 的丢弃错误时,nf_hook_slow()
Ingress对外暴露的IP。 预期输出: Old Nginx 步骤2:灰度发布新版本服务 设置访问新版本服务的流量切分策略。云容器引擎CCE支持设置以下三种策略,实现灰度发布和蓝绿发布,您可以根据实际情况进行选择。 基于Header的流量切分、基于Cookie的流量切分、基于服务权重的流量切分
节点在缩容的时候,若节点上的Pod不需要驱逐(DaemonSet的Pod认为不需要驱逐),则认为该节点为完全空闲节点,否则认为该节点为非完全空闲。 10 检查周期 节点被判定不可移除后能再次启动检查的时间间隔。 5min 冷却时间 集群触发弹性缩容后,再次启动缩容评估的冷却时间。
使用监控中心前,用户需要使用具有admin用户组的账户完成对CCE及其依赖服务的委托授权。授权完成后,拥有CCE Administrator角色或CCE FullAccess权限的用户可进行监控中心所有操作;拥有CCE ReadOnlyAccess权限的用户可以查看所有资源信息,但是无法进行任何操作。
不可以,数据盘是必须要的。 新建节点会给节点绑定一个供kubelet及容器引擎使用的专用数据盘,详情请参见数据盘空间分配说明。CCE数据盘默认使用LVM(Logical Volume Manager)进行磁盘管理,开启后您可以通过空间分配调整数据盘中不同资源的空间占比,具体请参见LVM简介。
创建与4中同名的PVC,并绑定上一步中新建的SFS Turbo PV。 所有实例对应的PVC均迁移后,将有状态应用扩容到原来的实例数。 确认无问题后,可前往SFS控制台删除对应的SFS 1.0卷,并在CCE控制台中删除SFS 1.0对应的PV。 有状态应用中的动态挂载存储迁移通用文件系统(SFS
利用runc的符号链接以及条件竞争漏洞,最终可能会导致容器逃逸,使攻击者能够访问宿主机的文件系统。 您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。
管理节点标签 节点标签可以给节点打上不同的标签,给节点定义不同的属性,通过这些标签可以快速的了解各个节点的特点。 节点标签使用场景 节点标签的主要使用场景有两类。 节点管理:通过节点标签管理节点,给节点分类。 工作负载与节点的亲和与反亲和:通过为节点添加标签,您可以使用节点亲和性
通过节点的标签和标签值划分节点范围,将节点分为不同的拓扑域。 例如,topologyKey为prefer,表示可以通过节点标签prefer划分拓扑域。拓扑域1的范围为带有prefer=true标签的节点,拓扑域2的范围为带有prefer=false标签的节点,拓扑域3的范围为不带prefer标签的节点。
描述 Content-Type 是 String 消息体的类型(格式) X-Auth-Token 是 String 调用接口的认证方式分为Token和AK/SK两种,如果您使用的Token方式,此参数为必填,请填写Token的值,获取方式请参见获取token。 响应参数 状态码: 200
群对接云存储服务的能力。 v1.27.5-r0、v1.28.3-r0及以上版本的集群中,该插件由系统自动配置,无需手动安装或更新。 编辑插件 本插件为系统默认安装,若需自定义参数,可参照如下步骤进行编辑。 登录CCE控制台,单击集群名称进入集群,单击左侧导航栏的“插件中心”,在右
io/zone为key做多实例副本软的反亲和部署。优先将插件的容器实例调度到不同可用区的节点上,如集群下节点不满足多可用区,插件实例将调度到单可用区下的不同节点。 强制模式:以拓扑域topology.kubernetes.io/zone为key做多实例副本硬反亲和部署。插件容器实例强制调度到不同可用区的节点上
参数解释 apiVersion 是 api版本号。 kind 是 创建的对象类别。 metadata 是 资源对象的元数据定义。 name 是 Pod的名称。 spec 是 spec是集合类的元素类型,pod的主体部分都在spec中给出。具体请参见表2。 表2 spec数据结构说明
当出现以上报错内容时,说明模板Chart.yaml文件中的name和version字段和模板包名称不一致。 如果您需要自定义模板包的名称和版本,需要同步修改Chart.yaml文件中的name和version字段。 解决方案 查看模板Chart.yaml文件中的name和version字段。 例如,
当IAM服务发生区域性故障时,存在低概率触发鉴权异常,从而影响集群内工作负载存储卷挂载、负载均衡对接等功能。最新的集群版本针对该类故障场景进行了优化和加固,为确保您的业务稳定运行,建议您尽快将账号下的集群升级至目标版本。 触发条件 同时满足以下条件: 集群版本范围: 已EOS版本:v1.19及以下所有版本
您可按需选择每一个系统预置采集任务的指标采集行为进行管理: 若您选择采集全量指标,则会采集该采集任务的所有指标。 若您选择指标采集白名单,则可以按需编辑白名单(基础免费指标无需添加),更加精确的控制自定义采集内容,降低您集群的资源消耗及指标上报成本。 采集任务周期管理 您可以按需对特定的系统采集任务的采集周期进行个性化配置。
节点NetworkManager检查异常处理 检查项内容 检查节点上的NetworkManager状态是否正常。 解决方案 请登录该节点,执行systemctl is-active NetworkManager命令查询NetworkManager服务运行状态。若回显状态异常,请执行systemctl
节点关闭,并可以优雅地终止该节点的Pod。在此更新之前,当节点关闭时,其Pod没有遵循预期的终止生命周期,这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统,并通知正在运行的Pod,使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes
节点关闭,并可以优雅地终止该节点的Pod。在此更新之前,当节点关闭时,其Pod没有遵循预期的终止生命周期,这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统,并通知正在运行的Pod,使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes
攻击者可以使用这一点导致拒绝服务(系统崩溃)或执行任意代码,在容器场景下拥有CAP_SYS_ADMIN权限的用户可导致容器逃逸到宿主机。目前已存在poc,但尚未发现已公开的利用代码。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 资源管理错误 CVE-2022-0185