检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
cors-max-age: '3600' kubernetes.io/elb.cors-disabled String 该参数用于关闭所有跨域配置。取值如下: true:关闭所有跨域配置。YAML中的参数值不会被删除,但所有配置均不生效。 false:默认取值,跨域配置将根据用户设置生效。 kubernetes
详情请参见表1。 触发时间 可选择每天、每周、每月或每年的具体时间点。 说明: 触发时间基于节点所在时区进行计算。 是否启用 可选择启用或关闭该策略规则。 填写完成上述参数,单击“确定”,您可以在列表中查看添加的策略规则。重复以上步骤,您可以添加多条策略规则,但策略的触发时间不能相同。
修改节点系统参数具有一定的风险,需要您对Linux命令和Linux系统知识具有较高程度的了解,避免误操作引起节点故障。 表1中的参数已经过测试验证,请勿自行修改其他参数以免引起节点故障。 修改节点系统参数的命令仅在使用公共镜像时有效,使用私有镜像时本文中提供的命令仅供参考。 节点重启后需执行sysctl
开启“默认路由表传播”功能,可免去创建路由表、创建传播、添加路由等操作,支持修改。 开启 自动接受共享连接 关闭“自动接受共享连接”功能,接受者创建的连接需要所有者审批,所有者接受后才会创建。 关闭 标签 为企业路由器绑定标签,用来标识资源,支持修改。 “标签键”:test “标签值”:01 描述
需额外配置双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。 服务器证书:当监听
节点交换区检查异常处理 检查项内容 检查集群CCE节点的上是否开启了交换区。 解决方案 CCE节点默认关闭swap交换区,请您确认手动开启交换区的原因,并确定关闭影响; 若确定无影响后请执行swapoff -a命令关闭交换区之后重新检查。 父主题: 升级前检查异常问题排查
存量集群暂不支持开启,且开启后不支持关闭。 该特性当前正处于上线阶段,已发布区域请以控制台实际为准。 KMS数据加密介绍 在Kubernetes集群中,通常使用Secret密钥模型存储和管理业务应用涉及的敏感信息,例如应用密码、TLS证书、Docker镜像下载凭据等敏感信息。K
数时,连接将被关闭。 100 上游服务器最大保持连接数 upstream-keepalive-connections 激活与上游服务器连接的缓存。该参数设置每个工作进程中保留在缓存中的闲置keepalive连接的最大数量。当超过这个数字时,最久未使用的连接将被关闭。 320 上游服务器最大连接时间
对象存储卷使用自定义访问密钥(AK/SK)时,对应的AK/SK不允许删除或禁用,否则业务容器将无法访问已挂载的对象存储。 自定义访问密钥暂不支持安全容器。 关闭自动挂载访问密钥 老版本控制台会要求您上传AK/SK,对象存储卷挂载时默认使用您上传的访问密钥,相当于所有IAM用户(即子用户)都使用的是
hostPath: path: /etc/localtime admissionWebhooks: # 关闭webhook验证开关 enabled: false patch: enabled: false resources:
service 是 表8 对外访问service配置 config 否 Map<String>String nginx配置参数,参考社区说明https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/configmap/
器工作负载中作为文件或者环境变量使用。 密钥配置 敏感操作保护 CCE控制台支持敏感操作保护,开启后执行删除集群敏感操作时,系统会进行身份验证,进一步保证CCE的安全性。 敏感操作保护介绍 父主题: 安全
代码执行 CVE-2019-5736 高 2019-02-11 2019-02-12 漏洞CVE-2019-5736的详细信息,请参见:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736 漏洞影响 本次漏洞典型的
signed by unknown authority 从第三方仓库下载镜像时,第三方仓库使用了非知名或者不安全的证书. 排查项五: 远程镜像仓库使用非知名或不安全的证书 Failed to pull image "XXX": rpc error: code = Unknown desc
memory-demo-2 --namespace=mem-example 这时候,容器可能会运行,也可能会被关闭。如果容器还没被关闭,重复之前的命令直至您看到这个容器被关闭: NAME READY STATUS RESTARTS AGE
无法访问Docker/Containerd。Pod重建后sock文件重新挂载,可恢复正常。 45 HTTPS类型负载均衡证书一致性检查异常处理 检查HTTPS类型负载均衡所使用的证书,是否在ELB服务侧被修改。 46 节点挂载检查异常处理 检查节点上默认挂载目录及软链接是否被手动挂载或修改。
pability精确控制容器的特权访问权限。 通过配置allowPrivilegeEscalation, 在不需要容器进程提权的场景,建议关闭“允许特权逃逸”的配置。 通过配置安全计算模式seccomp,限制容器的系统调用权限,具体配置方法可参考社区官方资料使用 Seccomp 限制容器的系统调用。
节点) 在创建集群时的“高级配置”中可以选择开启CPU管理策略。 开启:对应Kubernetes策略中的static,即使用CPU绑核。 关闭:对应Kubernetes策略中的none,即不使用CPU绑核。 为自定义节点池开启CPU管理策略 您可以在自定义节点池中单独配置CPU管
本文以Helm v3.3.0为例进行演示。 如需选择其他合适的版本,请访问https://github.com/helm/helm/releases。 在连接集群的虚拟机上下载Helm客户端。 wget https://get.helm.sh/helm-v3.3.0-linux-amd64
containerd安全漏洞公告(CVE-2020-15257) Docker Engine输入验证错误漏洞公告(CVE-2020-13401) Kubernetes kube-apiserver输入验证错误漏洞公告(CVE-2020-8559) Kubernetes kubelet资源管
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
