检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Linux内核整数溢出漏洞(CVE-2022-0185) 漏洞详情 国外安全研究人员William Liu和Jamie Hill-Daniel发现Linux内核中包含一个整数溢出漏洞,可导致写操作越界。本地攻击者可以使用这一点导致拒绝服务(系统崩溃)或执行任意代码,在容器场景下拥
不同集群间共享使用了相同的集群CA和认证凭据。 漏洞修复方案 对于集群内跨节点的攻击,建议您采取以下安全防范措施: 请妥善保管认证凭据。 授权子账号遵循权限最小化原则,通过设置RBAC权限,限制不必要的pods/exec、pods/attach、pods/portforward和proxy类型的资源访问。
节点磁盘挂载 应用现状 在自规划磁盘、创建条带逻辑盘等使用场景下,如何在创建节点时,灵活的挂载和划分磁盘成为一个问题。 节点创建中storage字段通过磁盘的大小、磁盘类型等参数的匹配来选择数据盘,避免了盘符匹配失败导致的节点创建、重置、迁移、纳管失败问题(例如当创建节点时Nod
时支持,且需要everest插件版本>=1.2.29。 节点上的第一块数据盘(供容器运行时和Kubelet组件使用)不支持导入为存储池。 条带化模式的存储池不支持扩容,条带化存储池扩容后可能造成碎片空间,无法使用。 存储池不支持缩容和删除。 如果删除节点上存储池的磁盘,会导致存储池异常。 导入存储池 创建节点时导入
HTTP头字段是指在超文本传输协议(HTTP)的请求和响应消息中的消息头部分。HTTP头部字段可以根据需要自定义,本文介绍可通过HTTP和HTTPS监听器支持的非标准头字段实现的功能特性。 配置HTTP/HTTPS头字段依赖ELB能力,使用该功能前请确认当前区域是否支持使用HT
开启集群过载控制 操作场景 过载控制开启后,将根据控制节点的资源压力,动态调整系统外LIST请求的并发限制,维护控制节点和集群的可靠性。 约束与限制 集群版本需为v1.23及以上。 开启集群过载控制 方式一:创建集群时开启 创建v1.23及以上集群时,可在创建集群过程中,开启过载控制选项。
使用GPU虚拟化 本文介绍如何使用GPU虚拟化能力实现算力和显存隔离,高效利用GPU设备资源。 前提条件 已完成GPU虚拟化资源准备。 如果您需要通过命令行创建,需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。 约束与限制 单个GPU卡最多虚拟化成20个GPU虚拟设备。
log-agent组件 容器组件 说明 资源类型 fluent-bit 轻量级的日志收集器和转发器,部署在每个节点上采集日志。 DaemonSet cop-logs 负责生成采集文件的软链接,和fluent-bit运行在同一Pod。 DaemonSet log-operator 负责生成内部的配置文件。
etes 调度器和调度策略。 为什么Pod数量在节点上分布不均匀 资源需求:不同节点的资源配置可能不同,例如CPU、内存大小,导致Pod中定义的Request值无法被满足。即使节点实际负载很低,也无法调度到该节点。 自定义调度策略:Pod可能根据自定义的亲和性和反亲和性策略进行调度,导致Pod在节点上分布不均匀。
如果某IAM子用户先配置了集群管理权限和命名空间权限,然后在界面下载kubeconfig认证文件。后面再删除集群管理权限(保留命名空间权限),依然可以使用kubectl来操作Kubernetes集群。因此如需彻底删除用户权限,必须同时删除该用户的集群管理权限和命名空间权限。 场景二 如果某
加盐加密,具体方法如下: 盐值需要根据密码的要求来设置,密码复杂度要求如下: 长度为8-26位。 密码至少必须包含大写字母、小写字母、数字和特殊字符(!@$%^-_=+[{}]:,./?)中的三种。 密码不能包含用户名或用户名的逆序。 Windows系统密码不能包含用户名或用户名
Pod,kube-scheduler 会选择一个最优的节点去运行这个 Pod。kube-scheduler 给一个 Pod 做调度选择包含过滤和打分两个步骤。过滤阶段会将所有满足 Pod 调度需求的节点选出来,在打分阶段 kube-scheduler 会给每一个可调度节点进行优先级打分,最后kube-scheduler
吊销用户的集群证书 功能介绍 该API用于吊销指定集群的用户证书 吊销操作完成后,此证书申请人之前下载的证书和 kubectl 配置文件无法再用于连接集群。此证书申请人可以重新下载证书或 kubectl 配置文件,并使用新下载的文件连接集群 接口约束 吊销用户集群证书首先需要获取用户ID,如何获取
过ICAgent采集容器日志(不推荐)。 支持收集CCE集群控制平面组件日志和Kubernetes审计日志,将日志从CCE控制层采集到您账号的LTS日志服务的日志流中。具体操作,请参见采集控制面组件日志和采集Kubernetes审计日志。 支持收集CCE集群Kubernetes事
集群所在的region。 Region对应的值请参见地区和终端节点。 failure-domain.beta.kubernetes.io/zone 是 创建云硬盘所在的可用区,必须和工作负载规划的可用区保持一致。 zone对应的值请参见地区和终端节点。 everest.io/disk-volume-type
23,推荐使用>=2.1.23版本。 节点上的第一块数据盘(供容器运行时和Kubelet组件使用)不支持导入为存储池。 条带化模式的存储池不支持扩容,条带化存储池扩容后可能造成碎片空间,无法使用。 存储池不支持缩容和删除。 如果删除节点上存储池的磁盘,会导致存储池异常。 导入存储池 创建节点时导入
集群诊断 云容器引擎CCE服务提供一键集群诊断能力,包括集群诊断、节点诊断、工作负载诊断、核心插件诊断和外部依赖诊断,可以辅助您定位集群中出现的问题。本文介绍如何在集群中使用集群诊断功能。 前提条件 已获取资源权限。 集群版本高于v1.17。 集群处于“运行中”状态。 功能入口
22-23648) 漏洞详情 containerd开源社区中披露了一个漏洞,如果镜像具有恶意的属性,在容器内的进程可能会访问主机上任意文件和目录的只读副本,从而造成宿主机上敏感信息泄露。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2022-23648
返回结果 状态码 请求发送以后,您会收到响应,包含状态码、响应消息头和消息体。 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于获取用户Token接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头 对应请求
CCE创建的节点是否支持按需转包周期? 当前在CCE中购买节点时支持“按需计费”和“包年/包月”(按周期)计费。 约束与限制 按需节点池中的节点转成包年/包月时,需要将集群升级到v1.19.16-r40、v1.21.11-r0、v1.23.0-r0、v1.25.4-r0及以上版本。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
