检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
EulerOS 2.9内核缺陷导致虚拟机卡住 故障现象 EulerOS 2.9节点上,由于内核存在调度相关的社区问题,有低概率会触发死锁,表现为虚拟机卡住。 影响范围 x86内核版本:4.18.0-147.5.1.6.h1152.eulerosv2r9.x86_64 arm内核版本:4
行时版本”,若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。 漏洞修复方案 使用可信的镜像,避免使用来源不明的第三方镜像,推荐使用容器镜像服务SWR。 CCE已提供大于1.4.1-96的containerd版本,请迁移至符合要求的节点。 相关链接 社区已
为Nginx Ingress配置应用流量镜像 Nginx Ingress支持在不同集群内进行流量镜像(Traffic Mirror),将访问请求复制一份路由到镜像后端,但会忽略镜像后端的返回值,因此不会对原有请求造成影响,可用于系统的仿真测试和问题定位。本文介绍如何使用Nginx
ssification.ipynb。 使用CPU 创建一个普通job,镜像输入第三方镜像bvlc/caffe:cpu,设置对应的容器规格。 启动命令添加python /home/caffeEx00.py。 挂载刚刚导入的OBS存储盘: 单击“创建”。等待job执行完成,进入OBS
谨慎调整VPC和虚拟机的DNS配置 CoreDNS启动时会默认从部署的实例上获取resolve.conf中的DNS配置,作为上游的解析服务器地址,并且在CoreDNS重启之前不会再重新加载节点上的resolve.conf配置。建议: 保持集群中各个节点的resolve.conf配
操作系统重大漏洞修复:跟随集群补丁升级策略发布。 集群版本与操作系统对应关系 如下为当前已经发布的集群版本与操作系统版本的对应关系,请参考: 表1 弹性云服务器-虚拟机节点操作系统 操作系统 集群版本 CCE Standard集群 CCE Turbo集群 最新内核信息 VPC网络模型 容器隧道网络模型
镜像更新/拉取策略。可以勾选“总是拉取镜像”,表示每次都从镜像仓库拉取镜像;如不勾选则优使用节点已有的镜像,如果没有这个镜像再从镜像仓库拉取。 镜像名称 单击后方“选择镜像”,选择容器使用的镜像。 容器镜像服务 共享版:提供简单易用、安全可靠的镜像管理功能。 我的镜像:可选择您上传的私有镜像。关于上传镜像的操作详情请参见客户端上传镜像。
的资源标签,请前往专属存储控制台。 填写挂载路径。 表1 存储卷挂载 参数 参数说明 挂载路径 请输入挂载路径,如:/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下,如“/”、“/var/run”等,会导致容器异常。建议挂载在空目录下,若目录不为空,请确保目录下无影
节点挂载点检查异常处理 检查项内容 检查节点上是否存在不可访问的挂载点。 解决方案 问题场景:节点上存在不可访问的挂载点 节点存在不可访问的挂载点,通常是由于该节点或节点上的Pod使用了网络存储nfs(常见的nfs类型有obsfs、sfs等),且节点与远端nfs服务器断连,导致挂
盘的资源标签,请前往云硬盘控制台。 填写挂载路径。 表1 存储卷挂载 参数 参数说明 挂载路径 请输入挂载路径,如:/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下,如“/”、“/var/run”等,会导致容器异常。建议挂载在空目录下,若目录不为空,请确保目录下无影
编写Dockerfile文件 镜像是容器的基础,容器基于镜像定义的内容来运行。镜像是多层存储,每一层是前一层基础上进行的修改。 定制镜像时,一般使用Dockerfile来完成。Dockerfile是一个文本文件,其内包含了一条条的指令,每一条指令构建镜像的其中一层,因此每一条指令的内容,就是描述该层应该如何构建。
鲲鹏集群Docker容器挂载点被卸载 故障现象 鲲鹏集群Docker容器挂载点被卸载。 问题根因 鲲鹏集群节点为EulerOS 2.8系统时,如果在Docker服务文件中配置了MountFlags=shared字段,会因为systemd特性的原因导致容器挂载点被卸载。 解决方法 修
2024-10-15 漏洞影响 使用Kubernetes Image Builder构建的镜像启用了默认SSH用户名密码(builder用户),可能允许攻击者获得对虚拟机(VM)的root访问权限。CCE节点镜像不使用Kubernetes Image Builder构建,不受该漏洞的影响。 判断方法
节点挂载检查异常处理 检查项内容 检查节点上默认挂载目录及软链接是否被手动挂载或修改。 v1.23.16-r0、v1.25.11-r0、v1.27.8-r0、1.28.6-r0、v1.29.2-r0及以上版本的集群将软链修改为挂载绑定。 节点为非共享磁盘场景 CCE默认挂载/va
节点以读写方式挂载,详情请参见存储卷访问模式。 存储池 查看已导入的存储池,如需将新的数据卷导入存储池,请参见在存储池中导入持久卷。 填写挂载路径。 表1 存储卷挂载 参数 参数说明 挂载路径 请输入挂载路径,如:/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下,如
runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465) 漏洞详情 业界安全研究人员披露runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。
您需要登录到Pod所在宿主机上查找正在使用该设备的进程,并终止对应的进程。 登录Pod所在节点。 执行以下命令,找到对应挂载路径下的云存储设备,其中<mount-path>为错误信息中显示的挂载路径。 mount | grep <mount-path> 回显示例如下: /dev/sdatest on
用中的镜像。如果在节点上使用docker或crictl命令行启动容器,那么在容器停止后,它将处于退出状态,但并未完全删除,这意味着该容器仍然引用着容器镜像。由于kubelet无法感知到非Pod产生的容器,也就无法感知到该容器镜像被引用,因此当kubelet尝试删除容器镜像时,容器
GPU加速型 AI加速型 弹性云服务器-物理机 基于擎天架构,使用裸金属虚拟化技术的弹性云服务器类型,该类型的物理机资源和虚拟机资源处于同一个资源池,可实现动态混合调度。 通用计算增强型 裸金属服务器 基于裸金属服务器部署容器服务,提供高性能和低延迟的计算能力。 裸金属服务器的规格信息请参见裸金属服务器实例家族。
节点sock文件挂载检查异常处理 检查项内容 检查节点上的Pod是否直接挂载docker/containerd.sock文件。升级过程中Docker/Containerd将会重启,宿主机sock文件发生变化,但是容器内的sock文件不会随之变化,二者不匹配,导致您的业务无法访问D
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
