检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
采用容器隧道网络的CCE集群,节点OS镜像使用了EulerOS 2.8(ARM场景)或EulerOS 2.9。 2. 节点OS镜像使用了Ubuntu。 EulerOS 2.5 和CentOS 7.6的集群节点不受该漏洞影响。 漏洞修复方案 容器内进程使用非root用户启动的进程可以
io/nvidia/k8s/dcgm-exporter:3.0.4-3.0.0-ubuntu20.04 swr.cn-east-3.myhuaweicloud.com/container/dcgm-exporter:3.0.4-3.0.0-ubuntu20.04 上传镜像至镜像仓库。 docker push
15及以下老版本集群暂不支持该能力。 IPVS网络模式下,对接同一个ELB的Service需保持pass-through设置情况一致。 使用节点级别(Local)的服务亲和的场景下,会自动设置kubernetes.io/elb.pass-through为onlyLocal,开启pass-through能力。
Cloud EulerOS 2.0、Ubuntu 22.04、EulerOS 2.9、EulerOS 2.10操作系统,采用如下命令查看内核版本: uname -a 若查询结果在3.15-6.8之间,则受该漏洞影响。 漏洞消减方案 建议容器工作负载设置seccomp,示例如下: 针对Huawei
oadbalancer Capacity Unit,LCU)费用。 商用 3 使用负载均衡时支持设置超时时间 使用负载均衡器类型的Service或ELB类型的Ingress时,支持设置超时时间。 商用 4 支持订阅默认告警模板 告警助手提供集群内置告警一键开启能力,覆盖容器服务异
conn_reuse_mode的初始默认值为1,但社区kube-proxy会对该参数进行重新设置: 集群版本 kube-proxy行为 对CCE集群的影响 1.17及以下 kube-proxy默认将net.ipv4.vs.conn_reuse_mode设置为0,详情请参见fix IPVS low throughput
情请参见设置容器生命周期。 健康检查(可选):根据需求选择是否设置存活探针、就绪探针及启动探针,详情请参见设置容器健康检查。 环境变量(可选):支持通过键值对的形式为容器运行环境设置变量,可用于把外部信息传递给Pod中运行的容器,可以在应用部署后灵活修改,详情请参见设置环境变量。
披露/发现时间 容器逃逸 CVE-2022-0492 高 2021-02-07 漏洞影响 该漏洞为Linux内核权限校验漏洞,根因为没有针对性的检查设置release_agent文件的进程是否具有正确的权限。在受影响的OS节点上,工作负载使用了root用户运行进程(或者具有CAP_SYS_
ntainerd.service LimitNOFILE或LimitNPROC参数设置为infinity时,表示容器单进程最大文件句柄数为1048576。 容器单进程最大文件句柄数通过以下参数设置: ... LimitNOFILE=1048576 LimitNPROC=1048576
同步云服务器 操作场景 集群中的每一个节点对应一台云服务器,集群节点创建成功后,您仍可以根据需求,修改云服务器的名称或变更规格。由于规格变更对业务有影响,建议一台成功完成后再对下一台进行规格变更。 CCE节点的部分信息是独立于弹性云服务器ECS维护的,当您在ECS控制台修改云服务
hce2.aarch64 v1.23.8-r0以下集群版本: 5.10.0-60.18.0.50.r865_35.hce2.aarch64 Ubuntu 22.04 v1.30 √ × √ 5.15.0-113-generic v1.29 √ × √ 5.15.0-113-generic
EulerOS 2.0(支持GPU虚拟化) Ubuntu 22.04.4 Ubuntu 22.04.3 CentOS Linux release 7.6 EulerOS release 2.9 EulerOS release 2.5 Ubuntu 18.04(停止维护) EulerOS
它们之间存在主从关系,并且需要相互通信。这种情况下,使用普通Service无法通过Cluster IP来保证访问到某个指定的实例,因此需要设置Headless Service直接访问Pod的真实IP地址,实现Pod间互相访问。 Headless Service一般结合Statef
应用程序cookie:仅共享型ELB支持设置。同时需填写“cookie名称”,长度范围为1-64。 当分配策略使用源IP算法时,不支持设置会话保持。 1.21 以下集群的独享型负载均衡无法使用会话保持能力,如果需要使用会话保持能力,推荐使用共享型负载均衡。 健康检查:设置负载均衡的健康检查配置,启用时支持以下配置。
CCE提供以下两种解决方案,您可根据实际情况选取: 建议业务容器的基础镜像使用Debian 9或者Debian 10。 建议节点操作系统使用EulerOS 2.9或者Ubuntu18.04。 父主题: 其他
EulerOS 2.0(支持GPU虚拟化) Ubuntu 22.04.4 Ubuntu 22.04.3 CentOS Linux release 7.6 EulerOS release 2.9 EulerOS release 2.5 Ubuntu 18.04(停止维护) EulerOS
vi daemonSet.yaml Yaml示例如下: spec.spec.containers.lifecycle字段是指容器启动后执行设置的命令。 kind: DaemonSet apiVersion: apps/v1 metadata: name: daemonset-test
目标版本为v1.27及以上时,仅支持EulerOS 2.9、EulerOS 2.10 CentOS 7.x 无限制 Ubuntu 目标版本为v1.27及以上时,仅支持Ubuntu 22.04。 Huawei Cloud EulerOS 无限制 检查到节点属于默认节点池,但是含有普通节点池标签,将影响升级流程
connections if expire_nodest_conn=1。 使用Ubuntu 22.04或Huawei Cloud EulerOS 2.0操作系统的节点上不存在此问题,CentOS/Ubuntu18.04/EulerOS 2.5/EulerOS 2.9(低版本内核)/Huawei
安装yum-util。 # yum install -y yum-utils device-mapper-persistent-data lvm2 设置Docker yum源。 # yum-config-manager --add-repo https://mirrors.huaweicloud
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
