检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为负载均衡类型的Service配置黑名单/白名单访问策略 使用负载均衡类型的服务时,您可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。 白名单:指定的IP允许访问,而其它IP不能访问。 黑名单:指定的IP不能访问,而其它IP允许访问。 配置黑名单/白名单访问策略后,如
您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。 以非root用户运行 通过capability限制容器拥有的特权,如CAP_DAC_OVERR
用API,该API获取用户的Token,Token可以用于调用其他API时鉴权。 您还可以通过这个视频教程了解如何构造请求调用API:https://bbs.huaweicloud.com/videos/102987。 请求URI 请求URI由如下部分组成: {URI-schem
集群、部署容器化应用,并方便地进行管理和维护。 容器化Web应用:使用CCE集群,能帮助用户快速部署Web业务应用,对接华为云中间件(如GaussDB、Redis),并支持配置高可用容灾、自动弹性伸缩、发布公网、灰度升级等。 中间件部署平台:CCE集群可以作为中间件的部署平台,使
为IPv6双栈网卡的Pod配置共享带宽 使用场景 默认情况下具有IPv6双栈网卡的Pod只具备IPv6私网访问能力,如果需要访问公网,则需要为该IPv6双栈网卡的Pod配置共享带宽。 约束限制 仅支持CCE Turbo集群,且需要满足以下条件: 集群已开启IPv6双栈。 集群版本为v1
度时,只能调度到拓扑域2或3中。 图1 工作负载亲和/反亲和示意图 配置负载亲和/反亲和调度策略 您可以通过不同的方式配置负载亲和/反亲和调度策略,将Pod调度到满足条件的节点。 通过控制台配置 通过YAML配置 本文示例中,集群内已创建后端应用的工作负载,且带有app=back
求,敏感数据要求存储在本地IDC中,而一般业务由于高并发、快响应等方面的特点需要部署在云上,并需要进行统一管理。 开发与部署分离 出于IP安全的考虑,用户希望将生产环境部署在公有云上,而将开发环境部署在本地的IDC。 价值 云容器引擎利用容器环境无关的特性,将私有云和公有云容器服
登录CCE控制台,单击集群名称进入集群。 在集群总览页,复制集群ID。 图1 获取资源ID 进入“流水和明细账单”页面。 选择“明细账单”,在筛选条件中选择“资源ID”,并输入步骤2复制的资源ID,单击图标即可搜索该资源的账单。 图2 查询资源账单 这里设置的统计维度为“按使用量”,统计周期为“按账期”,您也可以设置
参考链接 Netflix报告链接: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-002.md Go版本发布链接: https://golang.org/doc/devel/release
node是调用kubelet的metrics API来获取数据的,因此看到的是节点上已使用的资源总和除以可分配的所有资源。 社区issue链接:https://github.com/kubernetes/kubernetes/issues/86499。 场景示例 例如,某节点的参数可通过kubectl
该API用于将节点迁移到自定义节点池,仅default节点池下节点支持迁移。迁移过程节点无重置无重启,原节点密码将保留。 集群管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径。 调用方法 请参见如何调用API。 URI PUT /api
1变成了308,而部分老版本的IE浏览器不支持308重定向,因此出现无法访问的问题。 NGINX Ingress控制器社区issue:https://github.com/kubernetes/ingress-nginx/issues/1825 解决方法 您在创建Ingress时,可以通过“nginx
成API参数,根据选项配置自动生成正确的参数组合。 生成创建集群的API参数 登录CCE控制台。 在“集群管理”页面右上角单击“购买集群”。 参考购买Standard/Turbo集群,根据自身需求配置集群参数。 完成配置后,在“确认配置”页面,查看根据配置生成的API数据,您可以通过下载或复制进行使用。
程可以),那么很容易受到利用此bug进行攻击。 华为云提醒使用kube-proxy的用户及时安排自检并做好安全加固。 详情请参考链接:https://github.com/kubernetes/kubernetes/issues/92315 表1 漏洞信息 漏洞类型 CVE-ID
- -mem-alloc-sleep - 1s 在配置文件里的args段里,可以看到容器尝试分配250M的内存,超过了限制的100M。 创建Pod: kubectl create -f https://k8s.io/docs/tasks/configure-pod
CCE支持通过dnsPolicy标记每个Pod配置不同的DNS策略: None:表示空的DNS设置,这种方式一般用于想要自定义DNS配置的场景,而且,往往需要和dnsConfig配合一起使用达到自定义DNS的目的。 Default:从运行所在的节点继承名称解析配置。即容器的域名解析文件使用kub
概述 Kubernetes是一个开源的容器编排部署管理平台,用于管理云平台中多个主机上的容器化应用。Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了应用部署、规划、更新、维护的一种机制。 对应用开发者而言,可以把Kubernetes看成一个集
a reverse proxy and load balancer home: https://github.com/kubernetes/ingress-nginx icon: https://upload.wikimedia.org/wikipedia/commons/t
排查项二:节点是否配置网络ACL 登录VPC控制台。 单击左侧导航栏的“访问控制 > 网络ACL”。 排查节点所在集群的子网是否配置了网络ACL,并限制了外部访问。 排查项三:检查容器DNS配置 在容器中执行cat /etc/resolv.conf命令,查看DNS配置。示例如下: nameserver
过Pod的IP地址访问。Kubernetes只提供了如何为Pod提供网络的机制,并不直接负责配置Pod网络;Pod网络的具体配置操作交由具体的容器网络插件实现。容器网络插件负责为Pod配置网络并管理容器IP地址。 当前CCE支持如下容器网络模型。 容器隧道网络:容器隧道网络在节点
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
