检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
不会匹配。例如URL设置为/healthz,则匹配/healthz/v1,但不匹配/healthzv1。 此处添加的访问路径要求后端应用内存在相同的路径,否则转发无法生效。 例如,Nginx应用默认的Web访问路径为“/usr/share/nginx/html”,在为Ingres
Moved Permanently Date: Sat, 20 Jul 2024 07:55:49 GMT Content-Type: text/html Content-Length: 162 Connection: keep-alive Location: https://www.example
业务分离管理 可以为服务器实例配置多个分属于同一VPC内不同子网的弹性网卡,特定网卡分别承载云服务器实例的内网、外网、管理网流量。针对子网可独立设置访问安全控制策略与路由策略,弹性网卡也可配置独立安全组策略,从而实现网络隔离与业务流量分离。 使用限制 云服务器实例与扩展弹性网卡必须在同一VPC,可以分属于不同安全组。
行的操作,例如启动命令、启动后处理和停止前处理,详情请参见设置容器生命周期。 环境变量(可选):支持通过键值对的形式为容器运行环境设置变量,可用于把外部信息传递给Pod中运行的容器,可以在应用部署后灵活修改,详情请参见设置环境变量。 数据存储(可选):在容器内挂载本地存储或云存储
CCE支持对集群资源进行自定义选择,以满足您的多种业务需求。表1中列举了集群的主要性能参数,并给出了本示例的规划值,您可根据业务的实际需求大小进行设置,建议与原集群性能配置保持相对一致。 集群创建成功后,表1中带“*”号的资源参数将不可更改,请谨慎选择。 表1 CCE集群规划 资源 主要性能参数
用率、显存使用量、GPU运行的温度、GPU的功率等。在获取GPU监控指标后,用户可根据应用的GPU指标配置弹性伸缩策略,或者根据GPU指标设置告警规则。本文基于开源Prometheus和DCGM Exporter实现丰富的GPU观测场景,关于DCGM Exporter的更多信息,请参见DCGM
168.0.0/16的私有局域网,是为用户在云上构建的一个私有网络,是弹性云服务器、负载均衡、中间件等工作的基本网络环境。根据实际业务需要可以设置不同规模的网络,一般可为10.0.0.0/8~24,172.16.0.0/12~24,192.168.0.0/16~24,其中最大的网络10
当分配策略使用源IP算法时,不支持设置会话保持。 健康检查:设置负载均衡的健康检查配置。 全局检查:全局检查仅支持使用相同协议的端口,无法对多个使用不同协议的端口生效,建议使用“自定义检查”。 自定义检查:在端口配置中对多种不同协议的端口设置健康检查。关于自定义检查的YAML定
emptyDir实际是将Volume的内容写在Pod所在节点的磁盘上,另外emptyDir也可以设置存储介质为内存,如下所示,medium设置为Memory。 volumes: - name: html emptyDir: medium: Memory HostPath
11) 漏洞详情 crowdstrike安全团队披露CRI-O 1.19版本中存在一个安全漏洞,攻击者可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel.core_pattern
集群ID:集群资源唯一标识,创建成功后自动生成,可用于API接口调用等场景。 集群名称:集群创建成功后可以单击进行修改。 集群原名:修改集群名称后显示的集群原名,设置其他集群的名称时和该集群的原名同样不可以重复。 集群状态:当前集群的运行状态,详情请参见集群生命周期。 集群类别:显示当前集群为CCE Standard集群或CCE
而Ingress会将访问路径直接转发到后端相同路径,如果不进行URL重写配置,所有访问都将返回404。例如,Ingress规则中的访问路径设置为/app/demo,而后端服务提供的访问路径为/demo,在实际访问Ingress时会直接转发到后端服务的/app/demo路径,与后端
登录集群查看告警节点状态,确认异常后,优先将此节点设置为不可调度,并将业务pod调度到其他节点 节点的连接跟踪表已满 CCE 节点异常立即触发告警 登录集群查看告警节点状态,确认异常后,优先将此节点设置为不可调度,并将业务pod调度到其他节点 节点池资源售罄 CCE 节点池资源售罄立即告警 设置自动节点池切换或更换节点池规格
攻击者具有集群工作负载的创建或更新权限,创建工作负载时设置容器进程的WORKDIR为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。 工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限,将镜像中WORKDIR设置为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。
当某区域不健康时,在节点故障的情况下每秒删除Pod的节点数。该值默认设置为0.01,代表每100秒钟内至多从一个节点驱逐Pod。 说明: 配合node-eviction-rate设置,一般建议设置为node-eviction-rate的十分之一。 区域亚健康场景迁移速率设置过大无实际意义,且可能引入集群过载风险。
nds or check clock skew. 例如,假设一个CronJob被设置为从08:30:00开始每隔1分钟创建一个新的Job,且startingDeadlineSeconds字段未被设置。如果CronJob控制器从08:29:00到10:21:00终止运行,则该Job
在弹出的“升级操作系统”窗口中,设置升级参数。 目标操作系统:该项无需设置,用于展示目标版本的镜像信息。 升级方式:当前支持节点重置方式进行升级。 每批最大升级节点数:节点升级时,允许节点不可用的最大数量。节点重置方式进行同步时节点将不可用,请合理设置该参数,尽量避免出现集群节点不可用数量过多导致Pod无法调度的情况。
点或者节点池上,与业务Pod分离,降低集群中的提权攻击风险。因此您可以在系统插件安装页面,将节点亲和策略设置为“指定节点调度”或“指定节点池调度”。 容器安全配置建议 通过设置容器的计算资源限制(request和limit),避免容器占用大量资源影响宿主机和同节点其他容器的稳定性
节点上访问同一个二层域下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务,从而获取接口信息。如果绑定在端口上的服务没有设置身份验证,则会导致该服务容易受到攻击。例如,如果集群管理员运行监听了127.0.0.1:1234的TCP服务,由于这个bug,该服务将有可
创建节点时password字段加盐加密的方法 通过API创建节点时password字段需要加盐加密,具体方法如下: 盐值需要根据密码的要求来设置,密码复杂度要求如下: 长度为8-26位。 密码至少必须包含大写字母、小写字母、数字和特殊字符(!@$%^-_=+[{}]:,./?)中的三种。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
