检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
您需要准备一台机器,并安装Docker。 获取运行环境:获取运行应用的运行环境,以及对接的MongoDB数据库。 安装Docker Docker几乎支持在所有操作系统上安装,用户可以根据需要选择要安装的Docker版本。 容器镜像服务支持使用Docker 1.11.2及以上版本上传镜像。
中配置的服务端口值,本例中使用8080。 图4 访问nginx应用 如果您使用kubectl命令行方式连接集群,您需要在集群所在VPC下准备一台已绑定弹性公网IP的ECS虚拟机。 登录ECS虚拟机,详情请参见Linux ECS登录方式概述。 在ECS虚拟机上安装kubectl命令行工具。
CCE容器实例弹性伸缩到CCI服务 CCE突发弹性引擎(对接 CCI)作为一种虚拟的kubelet用来连接Kubernetes集群和其他平台的API。Bursting的主要场景是将Kubernetes API扩展到无服务器的容器平台(如CCI)。 基于该插件,支持用户在短时高负载
方法一:制作容器镜像时,将时区设置为CST。 方法二:若不希望修改容器,可在CCE控制台创建工作负载时,将本机的“/etc/localtime”目录挂载到容器的“/etc/localtime”目录下。 示例如下: kind: Deployment apiVersion: apps/v1 metadata:
卷会被删除。 通用文件系统子目录(SFS 3.0) 通用文件系统(SFS 3.0)中的一个目录 否 SFS Turbo子目录 SFS Turbo文件系统中的一个目录 否 删除集群下负载均衡ELB等网络资源(仅删除自动创建的ELB资源)。 删除云日志服务下该集群对应的日志组(删除日志组及组内所有日志流)。
Ingress对象(属于networking.k8s.io或extensions API 组)的权限,可能绕过注解验证并注入任意命令,从而获取ingress-nginx控制器的凭证,并访问集群中的所有敏感信息。 判断方法 若CCE集群中安装了NGINX Ingress控制器插件,且版本号在3
配置Gitlab项目 获取源码到本地。本实践中将使用一个Java示例。 在Gitlab上创建ccedemo项目组。 在ccedemo项目组中添加java-demo项目。 上传项目代码至本地Gitlab仓库。 cd ~/java-demo-main //目录地址按实际情况 git
网段规划建议 在集群网络构成中介绍集群中网络地址可分为集群网络、容器网络、服务网络三块,在规划网络地址时需要从如下方面考虑: 三个网段不能重叠,否则会导致冲突。且集群所在VPC下所有子网(包括扩展网段子网)不能和容器网段、服务网段冲突。 保证每个网段有足够的IP地址可用。 集群网段的IP地
衡对外提供服务,创建负载均衡类型Service时,支持选择已有的ELB实例或自动创建ELB实例。若选择已有的ELB实例,CCE集群会为Service配置ELB监听器、后端服务器组等资源;若选择自动创建ELB实例,CCE除了会为Service配置ELB监听器、后端服务器组等资源,还
件描述符泄漏,攻击者可通过控制容器进程的工作目录,或命令路径,将其设置为文件描述符的父级目录下的路径,读写主机任意文件,实现容器逃逸。 详细信息请参见:runc容器逃逸漏洞预警(CVE-2024-21626) 漏洞利用条件 CCE服务的正常使用场景不受此漏洞影响。 仅当攻击者具备以下条件之一时,可利用该漏洞:
减少了人工配置,提升效率。 制作镜像时,要求制作镜像的文件在同个目录下。 使用云服务 容器镜像服务SWR:是一种支持容器镜像全生命周期管理的服务, 提供简单易用、安全可靠的镜像管理功能,帮助用户快速部署容器化服务。 基本概念 镜像:Docker镜像是一个特殊的文件系统,除了提供
在CCE创建节点池时配置安装前执行脚本和安装后执行脚本。 在创建节点池的云服务器高级配置中填写如下命令。 如下命令是先使用curl命令从OBS中下载pre_install.sh和post_install.sh到/tmp目录,然后执行pre_install.sh和post_install.sh。
从崩溃前状态恢复执行。 在Web服务器容器服务数据时,保存内容管理器容器获取的文件。 缓存空间,例如基于磁盘的归并排序。 为耗时较长的计算任务提供检查点,以便任务能方便地从崩溃前状态恢复执行。 在Web服务器容器服务数据时,保存内容管理器容器获取的文件。 运行一个需要使用节点文件
通用文件存储(SFS 3.0)在OS中的挂载点修改属组及权限报错 现象描述 将通用文件存储(SFS 3.0)挂载到OS中某个目录后,该目录成为通用文件存储(SFS 3.0)的挂载点,使用chown和chmod命令尝试修改挂载点的属组或权限,会遇到以下报错: chown: changing
ectl的服务器,用来连接集群。工具支持在Linux(x86、ARM)环境中运行,因此您可以任选一种架构的服务器作为操作服务器。该服务器需要至少拥有5GB左右的本地磁盘空间和≥8G的内存,以确保工具可以正常运行,并存储相关数据。 工具获取 在安装了kubectl的服务器上下载以下工具:
HTTP请求方法(也称为操作或动词),它告诉服务你正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源,如删除对象等。 HEAD 请求服务器资源头部。 PATCH
纳管节点至节点池 如果您需要在购买ECS云服务器后将其添加到集群中的某个节点池中,或者将节点池的某个节点从集群里移除后将其重新添加到节点池,您可以通过纳管节点实现以上诉求。 纳管时,会将所选弹性云服务器的操作系统重置为CCE提供的标准镜像,以确保节点的稳定性。 所选弹性云服务器挂载的系统盘、数据
s、容器微服务、企业办公等应用场景。 SFS Turbo为用户提供一个完全托管的共享文件存储,能够弹性伸缩至320TB规模,具备高可用性和持久性,为海量的小文件、低延迟高IOPS型应用提供有力支持。 符合标准文件协议:用户可以将文件系统挂载给服务器,像使用本地文件目录一样。 数据
禁止容器获取宿主机元数据 当用户将单个CCE集群作为共享集群,提供给多个用户来部署容器时,应限制容器访问openstack的管理地址(169.254.169.254),以防止容器获取宿主机的元数据。 修复方式参考ECS文档-元数据获取-使用须知。 该修复方案可能影响通过ECS Console修改密码,修复前须进行验证。
ress 对象的“spec.rules[].http.paths[].path”字段可以获取ingress-controller使用的credentials。这个credentials可以获取集群中所有namespace的secrets。该漏洞被收录为CVE-2021-25748。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
