检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
漏洞影响 对操作系统中启用了IPv6并且容器网络的CNI Plugins小于V0.8.6版本的节点有影响。 恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录,实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知,但是如果DNS返回了A(IPv4)和A
创建节点时执行安装前/后脚本 应用现状 在创建节点时,对于需要在节点上安装一些工具或者进行安全加固等操作时,可以使用安装前/后脚本实现。本文为您提供正确使用安装前/后脚本的指导,帮助您了解和使用安装前/后脚本。如果有进阶的安装脚本使用需求,可以将脚本存放在OBS中,避免脚本字符数
创建节点时执行安装前/后脚本 应用现状 在创建节点时,对于需要在节点上安装一些工具或者进行安全加固等操作时,可以使用安装前/后脚本实现。本文为您提供正确使用安装前/后脚本的指导,帮助您了解和使用安装前/后脚本。如果有进阶的安装脚本使用需求,可以将脚本存放在OBS中,避免脚本字符数
concurrent-deployment-syncs 可以并发同步的Deployment对象个数。数值越大意味着对Deployment的响应越及时,同时也意味着更大的CPU(和网络带宽)压力。 默认:5 Endpoint concurrent-endpoint-syncs 可以并发同步的Endp
concurrent-deployment-syncs Deployment的并发处理数 默认:5 Endpoint concurrent-endpoint-syncs Endpoint的并发处理数 默认:5 GC回收 concurrent-gc-syncs Garbage Collector的并发数
云容器引擎CCE是基于开源Kubernetes的企业级容器服务,提供高可靠高性能的企业级容器应用管理服务,支持Kubernetes社区原生应用和工具,简化云上自动化容器运行环境搭建。 为什么需要使用容器 更高效的利用系统资源。 容器不需要硬件虚拟化以及运行完整操作系统等额外开销,所以对
ion.ipynb的过程。 OBS存储数据预置 创建OBS桶,并确认以下文件夹已创建,文件已上传至指定位置(需要使用OBS Browser工具)。 例如:桶内文件路径/文件名,文件下载地址可至github中指定项目的指定路径下查找,示例如1、2所示。 models/bvlc_re
这些也是和业务直接相关。 使用云服务 云容器引擎CCE:提供高可靠高性能的企业级容器应用管理服务,支持Kubernetes社区原生应用和工具,简化云上自动化容器运行环境搭建。 弹性云服务器ECS:一种可随时自助获取、可弹性伸缩的云服务器,帮助用户打造可靠、安全、灵活、高效的应用
tcp_keepalive_time tcp_max_syn_backlog /etc/sysctl.conf TCP最大半连接数,SYN_RECV 队列中的最大连接数。 查看参数: sysctl net.ipv4.tcp_max_syn_backlog tcp_max_tw_buckets
arameterSyncStrategy参数值恢复为ensureConsistent,重新启用配置一致性检查。 inherit:如果升级插件时下发的配置和当前生效配置不一致,将忽略升级插件时下发的配置,以当前生效配置为准。插件升级完毕后,parameterSyncStrategy
tcp_max_syn_backlog /etc/sysctl.conf TCP最大半连接数,SYN_RECV 队列中的最大连接数。 查看参数: sysctl net.ipv4.tcp_max_syn_backlog net.ipv4.tcp_max_syn_backlog=8096
Seccomp是一种系统调用过滤机制,它能够限制进程能够使用的系统调用,从而减少潜在的攻击面。Linux操作系统提供了数百个系统调用,但并非所有这些调用对于容器化应用都是必需的。通过限制容器可以执行的系统调用,您可以显著降低应用程序受到攻击的风险。 Seccomp的核心原理是拦截所有系统调用,并仅允许那
次扫描,判断是否需要触发伸缩动作 参数名 取值范围 默认值 是否允许修改 作用范围 horizontal-pod-autoscaler-sync-period 大于等于0 5 允许 CCE Standard/CCE Turbo 水平弹性伸缩控制器同步 pod 数量的周期。配置越小
防护措施不严,就会存在较大的安全隐患。比如开发流水线场景,当允许多用户使用时,不同用户的业务代码逻辑不可控,存在集群以及集群下的其它服务被攻击的风险。 启用企业主机安全服务(HSS) 企业主机安全服务(HSS)拥有主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,
请避免在此期间操作集群。 单击“确定”。 配置API Server访问策略 集群的API Server绑定EIP将会暴露到互联网,存在被攻击的风险,建议修改集群控制节点安全组规则。 登录CCE控制台,单击集群名称进入集群,在总览页面找到“集群ID”并复制。 登录VPC控制台,在左侧导航栏中选择“访问控制
}, { "name": "resource-syncer", "limitsCpu": "2000m",
新进行调度。根据ip_vs_in()的处理逻辑,当开启了net.ipv4.vs.conntrack时,这种情况会先DROP掉第一个SYN包,导致SYN的重传,有1秒延迟。导致性能下降。 社区当前行为及在CCE集群中影响 节点上net.ipv4.vs.conn_reuse_mode
通过“公网访问”方式访问集群,您需要在总览页中的“连接信息”版块为集群绑定公网地址,如图1所示。绑定公网集群的kube-apiserver将会暴露到互联网,存在被攻击的风险,建议对kube-apiserver所在节点的EIP配置DDoS高防服务或设置安全组规则。 图1 集群连接信息 您需要先下载kube
制作CCE节点自定义镜像 CCE自定义镜像制作基于开源工具HashiCorp Packer(>=1.7.2)以及开源插件实现,并提供了cce-image-builder配置模板帮助您快速制作符合要求的自定义镜像。 Packer是一款可以创建自定义镜像的开源工具。Packer包含构建器(Builde
是否可以直接连接CCE集群的控制节点? CCE支持使用Kubectl工具连接集群,具体请参见通过Kubectl连接集群。 CCE不支持登录控制节点执行相关操作。 父主题: 集群运行
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
