检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
17 v1.19 v1.21 v1.23 新增beta检查项ScheduledEvent,支持通过metadata接口检测宿主机异常导致虚拟机进行冷热迁移事件。该检查项默认不开启。 0.8.10 1.16.3 v1.17 v1.19 v1.21 v1.23 新增ResolvConf配置文件检查。
20 8G 40 16G 60 32G 80 64G及以上 110 节点网卡数量说明(仅CCE Turbo集群) CCE Turbo集群ECS节点使用弹性辅助网卡,裸金属节点使用弹性网卡,节点可以创建最大Pod数量与节点可使用网卡数量相关。 图3 节点网卡数 容器网络与主机网络的Pod
针对故障和潜在风险,给出风险等级并提供修复建议 使用场景 运维对集群做变更前的集群状况检测,可随时主动触发健康诊断 支持运维的定时巡检,可设置定时执行时间,定期检查集群风险 集群诊断健康提炼了运维专家提供的高频故障案例,分别从如下方面进行检查: 维度 检查项 运维层面 集群运维能力
该问题常见于文件存储挂载模式为hard的场景,在hard模式下,所有访问挂载点的进程都会Hang住,直到访问成功。使用soft模式挂载可以避免该情况,具体请参见设置挂载参数。 父主题: 工作负载异常问题排查
修复Docker操作系统命令注入漏洞公告(CVE-2019-5736) 漏洞详情 Docker、containerd或者其他基于runc的容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。
9及以下版本集群建议配置;1.17.17及以上版本当前已在操作系统镜像中将kernel.pid_max调整为4194304,无需配置。 您可以设置节点池安装前执行脚本,在节点池中新创建节点时通过脚本配置kernel.pid_max大小。 在创建节点池时,在“高级配置 > 安装后执行脚本”中添加如下命令。
云原生观测体系概述 云原生可观测性是指在云原生架构中,通过使用各种工具和技术来实现对应用程序和基础设施的监控告警、日志、故障排除等功能的一套完整的解决方案。本文介绍云容器引擎CCE可观测性架构分层和主要的可观测能力,以帮助您对CCE云原生可观测性生态有一个全面的认识。 图1 可观测性体系
健康检查配置 健康检查 此配置项配置为健康检查配置。 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: elb.health-check-options 无 无 允许 CCE Standard/CCE Turbo 健康检查的目标端口 spec.po
网络管理最佳实践 本文主要为您介绍网络管理相关实践。 场景分类 相关最佳实践 集群网络配置相关实践 集群网络地址段规划实践 集群网络模型选择及各模型区别 CCE Turbo配置容器网卡动态预热 在VPC网络集群中访问集群外地址时使用Pod IP作为客户端源IP 网络环境打通相关实践
不同集群间共享使用了相同的集群CA和认证凭据。 漏洞修复方案 对于集群内跨节点的攻击,建议您采取以下安全防范措施: 请妥善保管认证凭据。 授权子账号遵循权限最小化原则,通过设置RBAC权限,限制不必要的pods/exec、pods/attach、pods/portforward和proxy类型的资源访问。 父主题:
为ELB Ingress配置了HTTPS证书后访问异常的原因有哪些? 为ELB Ingress配置了HTTPS证书后,如果证书配置出现以下问题,可能导致访问异常,您可以参考表格中的原因进行排查。 访问异常原因 问题现象 解决方案 证书已过期 通过curl命令测试时报错信息如下: SSL
NGINX Ingress控制器插件升级检查异常处理 检查项内容 检查项一:检查集群中是否存在未指定Ingress类型(annotations中未添加kubernetes.io/ingress.class: nginx)的Nginx Ingress路由。 检查项二:检查Nginx
集群中磁盘不可用的节点个数。 不可用节点数 个 集群中未就绪的节点个数。 CPU使用率 百分比 集群中所有容器的CPU使用量总和占所有容器设置的Limit总和的百分比。 CPU Requests水位 百分比 集群整体CPU Requests占集群CPU容量的百分比。 CPU Limits水位
镜像版本未更新。您可能未使用正确的镜像版本,或者是旧版镜像和新版镜像重名均为latest版本,而节点上已存在旧版镜像,但工作负载的imagePullPolicy设置为IfNotPresent,导致未重新拉取新版镜像仍然运行旧版镜像。 配置中的环境变量错误。例如将command拼写成commnd,仍然能
containerd镜像Volume非安全处理漏洞公告(CVE-2022-23648) 漏洞详情 containerd开源社区中披露了一个漏洞,如果镜像具有恶意的属性,在容器内的进程可能会访问主机上任意文件和目录的只读副本,从而造成宿主机上敏感信息泄露。 表1 漏洞信息 漏洞类型
Linux内核整数溢出漏洞(CVE-2022-0185) 漏洞详情 国外安全研究人员William Liu和Jamie Hill-Daniel发现Linux内核中包含一个整数溢出漏洞,可导致写操作越界。本地攻击者可以使用这一点导致拒绝服务(系统崩溃)或执行任意代码,在容器场景下拥
使用kubectl部署带极速文件存储卷的有状态工作负载 操作场景 CCE支持使用已有的极速文件存储(SFS Turbo),创建有状态工作负载(StatefulSet)。 约束与限制 如下配置示例适用于Kubernetes 1.13及以下版本的集群。 操作步骤 参照创建文件存储卷中
查询API版本信息列表 功能介绍 该API用于查询CCE服务当前支持的API版本信息列表。 调用方法 请参见如何调用API。 URI GET / 请求参数 无 响应参数 状态码: 200 表1 响应Body参数 参数 参数类型 描述 versions Array of APIVersionDetail
批量资源开通自动续费:选择需要开通自动续费的资源,单击列表左上角的“开通自动续费”。 图4 多个资源开通自动续费 选择续费时长,并根据需要设置自动续费次数,单击“开通”。 在“续费管理”页面开通的自动续费,自动续费周期以实际选择的续费时长以及自动续费次数为准。例如:您选择了续费时
弹性策略”页签,单击要编辑的策略后方的“编辑”。 图3 编辑节点弹性策略 在打开的“编辑节点弹性策略”页面中,参照表2更新策略参数。 完成设置后,单击“确定”按钮完成编辑操作。 克隆节点弹性策略 在CCE控制台,单击集群名称进入集群。 在左侧导航栏中单击“策略”,切换至“节点弹性
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
