检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
6的集群节点不受该漏洞影响。 漏洞修复方案 容器内进程使用非root用户启动的进程可以通过为工作负载配置安全计算模式seccomp,建议配置RuntimeDefault模式或者禁用unshare等系统调用。具体配置方法可参考社区官方资料使用 Seccomp 限制容器的系统调用。 Ubuntu镜像自
linux内核导致的容器逃逸漏洞公告(CVE-2022-0492) 漏洞详情 在某些场景下linux内核cgroup v1的release_agent特性存在可以被利用在容器内逃逸到OS上的安全问题,该问题已被收录为CVE-2022-0492。 表1 漏洞信息 漏洞类型 CVE-ID
式时,您可能会在CoreDNS缩容或重启时遇到DNS概率性解析超时的问题。 该问题由社区Linux内核缺陷导致,具体信息请参见https://github.com/torvalds/linux/commit/35dfb013149f74c2be1ff9c78f14e6a3cd1539d1。
配置管理 ConfigMap Secret
于标签与注解的作用及配置说明,请参见设置标签与注解。 DNS配置:为工作负载单独配置DNS策略,详情请参见工作负载DNS配置说明。 性能管理配置:使用应用性能管理(APM)服务,为JAVA程序提供更精准的问题分析与定位,详情请参见设置性能管理配置。 网络配置: Pod入/出口带宽
允许 CCE Standard/CCE Turbo 配置建议: 此配置由集群的service-node-port-range配置项确定范围,建议配置在30000-32767之间 端口号小于20106会和CCE组件的健康检查端口冲突,引发集群不可用 端口号高于32767会和net.ipv4
检查项二解决方案 重新创建DefaultBackend Service。 如果安装插件时,在“默认404服务”配置项中指定了自定义的DefaultBackend Service,请您自行重新创建相同的Service。 如果安装插件时使用默认的DefaultBackend Service,则重新创建的YAML示例如下。
单击已创建的对等连接名称,添加路由。 单击“添加路由表”,在vpc-X的路由表中,添加vpc-A的网段,即172.16.0.0/16。 同时勾选“添加另一端VPC的路由”,在vpc-A的路由表中,添加vpc-X的网段,即192.168.0.0/16。 图2 添加路由示例 单击“确定”。
安装Spark 前提条件 您需要准备一台可访问公网的Linux机器,节点规格建议为4U8G及以上。 配置JDK 以CentOS系统为例,安装JDK 1.8。 查询可用的JDK版本。 yum -y list java* 选择安装JDK 1.8。 yum install -y java-1
负载均衡器配置:共享型elb自动创建配置 负载均衡器名称 自动创建的负载均衡器名称。 参数名 取值范围 默认值 是否允许修改 作用范围 name 1-255个字符 无 允许 CCE Standard/CCE Turbo 自动创建的负载均衡器名称。 支持网络类型 自动创建的负载均衡器属性:inner为私网
Linux内核权限提升漏洞公告(CVE-2024-1086) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 本地提权 CVE-2024-1086 严重 2024-01-31 漏洞影响 Linux系统内核在3.15-6.8中的netfilter: nf
CCE服务的集群节点操作系统配置与开源操作系统默认配置保持一致,用户在节点创建完成后应根据自身安全诉求进行安全加固。 CCE提供以下建议的加固方法: 通过“创建节点”的“安装后执行脚本”功能,在节点创建完成后,执行命令加固节点。具体操作步骤参考创建节点的“云服务器高级设置”的“安装后执行脚本”。“安装后执行脚本”的内容需由用户提供。
量走向。除了默认路由表,您还可以创建自定义路由表,并关联至子网,则该子网的出方向流量由自定义路由表控制。 如果路由表的下拉列表中只有默认路由表,则选择默认路由表即可。 如果路由表的下拉列表中同时存在默认路由表和其他自定义路由表,则选择对等连接连通的子网所关联的路由表。 rtb-VPC-A(默认路由表)
控制Pod中容器使用的Sysctl配置。 Pod安全策略开放非安全系统配置示例 节点池管理中可以为相应的节点池配置allowed-unsafe-sysctls,CCE从1.17.17集群版本开始,需要在Pod安全策略的allowedUnsafeSysctls字段中增加相应的配置才能生效,配置详情请参考表1。
30000-32767 允许 CCE Standard/CCE Turbo 此配置是Nodeport类型的service可分配端口范围 配置建议: 30000-32767 端口号小于20106会和CCE组件的健康检查端口冲突,引发集群不可用 端口号高于32767会和net.ipv4.ip_loc
(Everest) 不支持配置。集群创建完成后,可前往“插件中心”修改配置。 CoreDNS 域名解析 不支持配置。集群创建完成后,可前往“插件中心”修改配置。 节点本地域名解析加速 不支持配置。集群创建完成后,可前往“插件中心”修改配置。 Volcano调度器 不支持配置。集群创建完成后,可前往“插件中心”修改配置。
为CCE Turbo集群配置默认容器子网 使用注解为Pod绑定安全组 使用安全组策略为工作负载绑定安全组 使用容器网络配置为命名空间/工作负载绑定子网及安全组 为Pod配置固定IP 为Pod配置EIP 为Pod配置固定EIP 为IPv6双栈网卡的Pod配置共享带宽 父主题: 容器网络
一条路由(包括默认路由表和自定义路由表),因此集群本身规模受VPC路由表上限限制,创建前请提前评估集群规模。路由表配额请参见使用限制。 最大可支持2000节点 由于云原生网络2.0集群中的容器从VPC网段内分配IP地址,消耗VPC的地址空间,实际支持规模受限于VPC子网网段大小,因此创建前请提前评估集群规模。
为Pod配置EIP 使用场景 云原生网络2.0网络模式下,Pod使用的是VPC的弹性网卡/辅助弹性网卡,可直接绑定弹性公网IP。 为方便用户在CCE内直接为Pod关联弹性公网IP,用户只需在创建Pod时,配置annotation(yangtse.io/pod-with-eip:
为Overlay模式、路由模式、Underlay模式三类。 Overlay模式是在节点网络基础上通过隧道封装构建的独立网络,拥有自己独立的IP地址空间、交换或者路由的实现。VXLAN协议是目前最流行的Overlay网络隧道协议之一。 路由模式采用VPC路由表的方式与底层网络相结合
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
