检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
漏洞修复方案 容器内进程使用非root用户启动的进程可以通过为工作负载配置安全计算模式seccomp,建议配置RuntimeDefault模式或者禁用unshare等系统调用。具体配置方法可参考社区官方资料使用 Seccomp 限制容器的系统调用。 Ubuntu镜像自带openvswit
支持HTTPS协议。 支持黑白名单功能。 HTTPS(集成SSL)支持全链路HTTPS、SNI多证书、RSA、ECC双证、TLS 1.3协议和TLS算法套件选择。 支持WAF防火墙防护。 支持DDos防护。 支持黑白名单功能。 支持自定义安全策略。 服务治理 支持金丝雀发布、蓝绿发布。 支持限速,详情请参见Rate
集群 基础配置 网络 认证 访问配置 权限管控 容器驱逐配置 端口范围配置 特性开关 调度器性能配置 集群调度器配置 调度算法 部署策略 控制器性能配置 集群控制器并发配置 节点生命周期控制器(node-lifecycle-controller)配置 负载弹性伸缩控制器(hori
lb-algorithm String 后端云服务器组的负载均衡算法,默认值为“ROUND_ROBIN”。 取值范围: ROUND_ROBIN:加权轮询算法。 LEAST_CONNECTIONS:加权最少连接算法。 SOURCE_IP:源IP算法。 说明: 当该字段的取值为SOURCE_IP时,
是否允许修改 作用范围 StartupProbe 无 无 允许 - 指示容器中的应用是否已经启动。如果提供了启动探针,则所有其他探针都会被 禁用,直到此探针成功为止。如果启动探测失败,kubelet 将终止容器, 而容器依其重启策略进行重启。 如果容器没有提供启动探测,则默认状态为
组调度介绍 Gang调度策略是volcano-scheduler的核心调度算法之一,它满足了调度过程中的“All or nothing”的调度需求,避免Pod的任意调度导致集群资源的浪费。具体算法是,观察Job下的Pod已调度数量是否满足了最小运行数量,当Job的最小运行数量
可执行以下步骤进行解决: 执行命令禁用kubelet和containerd运行时服务: 禁用服务(containerd运行时) systemctl disable kubelet kubelet-monit containerd containerd-monit 禁用服务(docker运行时)
Scheduler是负责Pod调度的组件,它由一系列action和plugin组成。action定义了调度各环节中需要执行的动作;plugin根据不同场景提供了action 中算法的具体实现细节。Volcano Scheduler具有高度的可扩展性,您可以根据需要实现自己的action和plugin。 图1 Volcano
Ingress支持配置服务器与客户端之间的双向HTTPS认证来保证连接的安全性。 请参见通过kubectl连接集群,使用kubectl连接集群。 执行以下命令,创建自签名的CA证书。 openssl req -x509 -sha256 -newkey rsa:4096 -keyout ca.key -out
S、autoscaler、prometheus等。对于不需要访问kube-apiserver的工作负载,建议关闭服务账号的自动关联功能。 禁用方法: 方法一:将服务账号的automountServiceAccountToken字段设置为false。完成设置后,创建的工作负载将不会
登录节点,执行命令,查看BuildDate,如果查看BuildDate是在2021-08-20之后的时间,则表示已经修复,不受该漏洞影响。 漏洞处理方案 您可以禁用 kubelet 上的VolumeSubpath feature gate,并删除任何使用subPath功能的现有 Pod。 以root用户登录CCE
率。 高级设置(可选) 告警标签:添加告警标识性属性,用于告警降噪分组条件,标签值可用在通知内容模板中以$event.metadate.标签名被引用。一共可以添加10个告警标签。 告警标注:添加告警非标识性属性,标注值可用在通知内容模板中以$event.annotations.标
Ingress支持的Service类型。 约束与限制 仅独享型负载均衡支持HTTP和HTTPS类型的后端服务器组Pod开启慢启动功能。 仅在流量分配策略使用加权轮询算法时生效。 慢启动仅对新增后端服务器Pod生效,后端服务器组Pod首次添加后端服务器慢启动不生效。 后端服务器的慢启动结束之后,不会再次进入慢启动模式。
如果集群不需要开启API Server不安全端口,可以将--insecure-port=0添加到kubernetes API服务器命令行来禁用端口。 如集群内运行有不受信的容器,需要manifest文件中关闭CAP_NET_RAW能力,可执行如下命令: securityContext:
成功创建。 从1.25版本集群开始,Kubernetes不再支持使用SHA1WithRSA、ECDSAWithSHA1算法生成的证书认证,推荐使用SHA256算法生成的证书进行认证。 开启CPU管理策略 支持为工作负载实例设置独占CPU核的功能,详情请参见CPU管理策略。 Secret落盘加密
ELB Ingress高级配置示例 为ELB Ingress配置HTTPS证书 更新ELB Ingress的HTTPS证书 为ELB Ingress配置服务器名称指示(SNI) 为ELB Ingress配置多个转发策略 为ELB Ingress配置HTTP/2 为ELB Ingress配置HTTPS协议的后端服务
问题背景 在同一个集群中,多个Ingress可以使用同一个监听器(即使用同一个负载均衡器的同一个端口)。如果两个Ingress均配置了HTTPS证书,则生效的服务器证书将以最早创建的Ingress配置为准。 但是不同命名空间下的Ingress对接同一个监听器且使用TLS密钥类型证书
Nginx Ingress高级配置示例 为Nginx Ingress配置HTTPS证书 为Nginx Ingress配置重定向规则 为Nginx Ingress配置URL重写规则 为Nginx Ingress配置HTTPS协议的后端服务 为Nginx Ingress配置GRPC协议的后端服务
ss。 增加EndpointSliceProxying功能选项以控制kube-proxy中EndpointSlices的使用,默认情况下已禁用此功能。 kubeadm kubeadm upgrade node的--kubelet-version参数已弃用,将在后续版本中删除。 kubeadm
ss。 增加EndpointSliceProxying功能选项以控制kube-proxy中EndpointSlices的使用,默认情况下已禁用此功能。 kubeadm kubeadm upgrade node的--kubelet-version参数已弃用,将在后续版本中删除。 kubeadm
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
