检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
linux内核导致的容器逃逸漏洞公告(CVE-2022-0492) 漏洞详情 在某些场景下linux内核cgroup v1的release_agent特性存在可以被利用在容器内逃逸到OS上的安全问题,该问题已被收录为CVE-2022-0492。 表1 漏洞信息 漏洞类型 CVE-ID
为ELB Ingress配置灰度发布 独享型ELB Ingress支持使用以下方式设置灰度发布: 支持按比例的方式发布灰度Ingress 支持按HTTP请求头的方式发布灰度Ingress 支持按Cookie发布的方式发布灰度Ingress Ingress的灰度发布功能依赖ELB能力
CCE部署使用ClickHouse ClickHouse是一款用于联机分析(OLAP)的列式数据库管理系统,适用于处理大规模数据集的实时查询和分析。ClickHouse容器化部署方式主要有4种,具体请参见表1。ClickHouse Operator是在Kubernetes上部署和管理
休眠/唤醒按需计费集群 操作场景 当按需计费的集群暂时不需要使用时,您可以将其设置为休眠状态,有助于节省成本并减少资源浪费。 集群休眠后,将无法在此集群上创建和管理工作负载等资源。 注意事项 集群唤醒过程中,可能会由于资源不足导致Master节点启动失败,从而导致集群唤醒失败,请过一段时间再次唤醒
Sudo缓冲区错误漏洞公告(CVE-2021-3156) 漏洞详情 外部安全研究人员披露sudo中的堆溢出漏洞(CVE-2021-3156),该漏洞在类似Unix的主要操作系统上都可以使用。在其默认配置下会影响从1.8.2到1.8.31p2的所有旧版本以及从1.9.0到1.9.5p1
使用Nginx Ingress实现灰度发布和蓝绿发布 本文将介绍使用Nginx Ingress实现灰度发布和蓝绿发布的应用场景、用法详解及实践步骤。 应用场景 使用Nginx Ingress实现灰度发布适用场景主要取决于业务流量切分的策略,目前Nginx Ingress支持基于Header
在CCE中实现应用高可用部署 基本原则 在CCE中,容器部署要实现高可用,可参考如下几点: 集群选择3个控制节点的高可用模式。 创建节点选择在不同的可用区,在多个可用区(AZ)多个节点的情况下,根据自身业务需求合理的配置自定义调度策略,可达到资源分配的最大化。 创建多个节点池,不同节点池部署在不同可用区
Docker资源管理错误漏洞公告(CVE-2021-21285) 漏洞详情 Docker是一款开源的应用容器引擎,支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。 Docker 19.03.15和20.10.3
创建节点时使用OBS桶实现自定义脚本注入 应用现状 对于需要在节点上提前安装一些工具或者做用户自定义的安全加固等操作时,需要在创建节点的时候注入一些脚本。CCE创建节点提供了Kubernetes安装前和安装后两处注入脚本的功能。但是使用通常碰到如下限制: 注入脚本的字符有限。 各种需求
cgroup统计资源异常导致kubelet驱逐Pod 故障现象 ARM架构节点上,cgroup统计资源异常导致kubelet驱逐Pod,节点无法正常使用。 kubelet一直在驱逐pod,把容器全终止之后还是认为内存不足。 此时实际资源使用正常。 查看/sys/fs/cgroup/
误卸载存储池的磁盘后如何恢复 存储池是Everest创建的一种Custom Resource,资源为nodelocalvolumes,该资源在正常情况下不建议手动操作。Everest每分钟会扫描空闲磁盘,并检查已添加进存储池的磁盘是否正常。 Everest使用LVM进行存储池管理,
IPVS缺陷导致节点上升级CoreDNS后出现概率性解析超时 故障现象 在集群使用IPVS转发的场景下,节点上升级CoreDNS后,可能出现概率性丢包,导致域名解析失败。 问题根因 该问题由IPVS缺陷导致,社区已在IPVS v5.9-rc1版本中修复该问题,详情请参见ipvs:
平台提供工作负载代码和配置文件的分离,“配置项挂载”用于处理工作负载配置参数。用户需要提前创建工作负载配置,操作步骤请参见创建配置项。 使用控制台方式 登录CCE控制台,单击集群名称进入集群。 在左侧导航栏选择“工作负载”,单击右上角“创建工作负载”。
基础配置 节点池名称 节点池创建出的节点名称会基于节点池名称增加5位数随机尾缀,如输入nodepool,创建的节点名称为nodepool-47bl2 参数名 取值范围 默认值 是否允许修改 作用范围 .metadata.name 命名规则: 以小写字母开头,由小写字母、数字、中划线
使用kubectl对接已有云硬盘 约束与限制 如下配置示例适用于Kubernetes 1.13及以下版本的集群。 操作步骤 登录EVS控制台,创建一个EVS云硬盘,记录云硬盘的VolumeID、容量和磁盘类型。 请参见通过kubectl连接集群,使用kubectl连接集群。 新建两个
CCE密钥管理(对接 DEW) 插件简介 CCE密钥管理(dew-provider)插件用于对接数据加密服务(Data Encryption Workshop, DEW)。该插件允许用户将存储在集群外部(即专门存储敏感信息的数据加密服务)的凭据挂载至业务Pod内,从而将敏感信息与集群环境解耦
通过Core Dump文件定位容器问题 应用场景 Core Dump是Linux操作系统在程序突然异常终止或者崩溃时将当时的内存状态记录下来,保存在一个文件中。通过Core Dump文件可以分析查找问题原因。 容器一般将业务应用程序作为容器主程序,程序崩溃后容器直接退出,且被回收销毁
集群备份恢复 CCE备份恢复为无状态和有状态应用的备份和恢复提供了一套可靠、安全、灵活且高效的解决方案。通过遵循CCE备份恢复的全流程指导,您可以顺利地完成应用的备份和恢复。 建议在用户业务量小时执行备份和恢复操作。 方案优势 易用性:在应用备份和恢复阶段,已实现工具自动化。这些工具免安装
工作负载异常:存储卷无法挂载或挂载超时 排查思路 以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。 排查项一:EVS存储卷是否跨AZ挂载 排查项二:存储中是否同时存在多条权限相关的配置
CCE集群备份恢复(停止维护) 插件简介 CCE集群备份恢复插件(e-backup)提供集群备份恢复能力。它将用户应用数据和业务数据备份到OBS桶中,并提供数据的本地备份和远程备份的能力。 使用约束 备份/恢复过程中,用户要保证集群处于稳态,不要触发增删改等变更行为,以免出现备份/
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
