检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权,如CAP_DAC_OVERRIDE、CAP_DAC_READ_SEARCH、CAP_SYS_ADMIN等 通过seccomp限制攻击者对宿主机内核的系统调用权限,具体请参见使用Seccomp限制容器的系统调用。 CCE新创建节点已经解决该漏洞。 您可以先创建新的节点,然后将老
漏洞影响 有权限可以创建/更新ingress 中`spec.rules[].http.paths[].path`字段的用户,可以使用换行符绕过对Ingress 对象的“spec.rules[].http.paths[].path”字段的处理,通过这种方式获取ingress-contr
解决方案 避免服务中断可以从Deployment和Service两类资源入手: Deployment可以采用滚动升级的升级方式,为对各个实例逐个进行更新,而不是同时对所有实例进行全部更新,可以控制Pod的更新速度和并发数,从而确保了升级过程中业务不中断。例如,可以设置maxSurge和m
eployment、DaemonSet等其他类型的工作负载配置Pod固定IP,且不支持已设置HostNetwork的Pod配置固定IP。 对Pod的IP地址无明确要求的业务不建议配置固定IP,因为配置了固定IP的Pod,Pod重建的耗时会略微变长同时IP地址的利用率会下降。 暂不支持CCE
漏洞影响 Fluent Bit 版本2.0.7 - 3.0.3中存在堆缓冲区溢出漏洞,该漏洞存在于Fluent Bit的嵌入式http服务器对跟踪请求的解析中,由于在解析/api/v1/traces 端点的传入请求时,在解析之前未正确验证input_name的数据类型,可通过在请求
Ingress控制器插件升级后无法使用TLS v1.0和v1.1 问题现象 NGINX Ingress控制器插件升级至2.3.3及以上版本后,如果客户端TLS版本低于v1.2,会导致客户端与NGINX Ingress协商时报错。 解决方法 2.3.3及以上版本的NGINX Ingress默认仅支持TLS v1
老版本控制台会要求您上传AK/SK,对象存储卷挂载时默认使用您上传的访问密钥,相当于所有IAM用户(即子用户)都使用的是同一个访问密钥挂载的对象桶,对桶的权限都是一样的,导致无法对IAM用户使用对象存储桶进行权限控制。 如果您之前上传过AK/SK,为防止IAM用户越权,建议关闭自动挂载访问密钥,即需要在
源竞争几率,避免业务波动导致Pod频繁驱逐。 相比于直接利用节点实时CPU内存利用率的算法,基于Pod实例画像的算法能够避免超卖量波动大,对突发资源尖峰覆盖不足的问题,在保障业务性能相对稳定的前提下超卖资源。 工作原理 基于Pod实例画像的资源超卖由Volcano agent和Volcano
支持v1.29集群 2.37.8 3.9.5 v1.21 v1.23 v1.25 v1.27 v1.28 新增采集自定义指标的开关,默认开启 移除对1.17和1.19版本集群的支持 Grafana从云原生监控插件中移除,拆分为独立的Grafana插件 默认只采集免费指标和服务发现自定义指标
使用HPA+CA实现工作负载和节点联动弹性伸缩 基于Prometheus指标的弹性伸缩实践 基于ELB监控指标的弹性伸缩实践 通过Nginx Ingress对多个应用进行弹性伸缩 工作负载发布实践 使用Service实现简单的灰度发布和蓝绿发布 使用Nginx Ingress实现灰度发布和蓝绿发布
true 使用多阶段构建 多阶段构建是一种高效的容器镜像制作方法,它在自动化持续集成流程中发挥着重要作用。通过这种方式,您可以在构建过程中对源代码进行lint检查或执行静态代码分析,从而为开发人员提供快速反馈,无需长时间等待整个构建流程完成。 从安全性角度来看,多阶段构建具有显著
23 v1.25 修复networkresource插件计数pipeline pod占用subeni问题 修复binpack插件对资源不足节点打分问题 修复对结束状态未知的Pod的资源的处理 优化事件输出 默认高可用部署 1.7.2 v1.19.16 v1.21 v1.23 v1.25
13及以上版本的集群创建。 1.19.10以下版本的集群中,如果使用HPA策略对挂载了EVS卷的负载进行扩容,当新Pod被调度到另一个节点时,会导致之前Pod不能正常读写。 1.19.10及以上版本集群中,如果使用HPA策略对挂载了EVS卷的负载进行扩容,新Pod会因为无法挂载云硬盘导致无法成功启动。
目前Kubernetes的默认调度器是以Pod为单位进行调度的,不区分Pod中运行的业务类型。因此无法满足混部场景对资源分配的特殊要求。针对上述问题,Volcano实现了基于应用模型感知的智能调度算法,根据用户提交的作业类型,针对其应用模型对资源的诉求和整体应用负载的情况,优化调度方式,通过资源抢占,分时复用等机制减少集群资源的空闲比例。
节点的登录方式。密钥对和密码登录方式二者必选其一。 nodes Array of NodeItem objects 待操作节点列表,当前最多支持同时移除200个节点。 表11 Login 参数 参数类型 描述 sshKey String 参数解释: 选择密钥对方式登录时的密钥对名称。 约束限制:
披露/发现时间 资源管理错误 CVE-2021-21285 中 2021-02-02 漏洞影响 docker daemon组件在拉取镜像的过程中没有对镜像层digest进行有效性校验,拉取一个被恶意损坏的镜像可能会导致docker daemon崩溃。 该漏洞可能在以下场景触发: 在集群内的节点上手动docker
以非root用户身份登录系统。 执行命令sudoedit -s /进行漏洞排查。 如果系统容易受到攻击,它将以“ sudoedit:”开头的错误作为响应。 如果对系统进行了修补,它将以“ usage:”开头的错误作为响应。 漏洞修复方案 受影响的用户请及时将sudo升级到安全版本,并在升级前做好自验:
>总览“欠费金额”查看,华为云将在您充值时自动扣取欠费金额。 如果您在宽限期内仍未支付欠款,那么就会进入保留期,资源状态变为“已冻结”,您将无法对处于保留期的按需计费资源执行任何操作。 保留期到期后,若您仍未支付账户欠款,那么集群和集群中的资源(例如节点、云硬盘、弹性公网IP)都将被释放,数据无法恢复。
ubectl访问集群需要在集群控制节点的安全组(安全组名称:集群名称-cce-control-随机数)中放通5443端口。5443端口默认对所有网段放通,如果您对安全组做过加固,当出现在CloudShell中无法访问集群时,请检查5443端口是否放通了198.19.0.0/16网段。
Turbo配置容器网卡动态预热 保留Pod IP非伪装网段最佳实践 使用VPC和云专线实现容器与IDC之间的网络通信 集群通过企业路由器连接对端VPC 不同场景下容器内获取客户端源IP 容器网络带宽限制的配置建议 通过配置容器内核参数增大监听队列长度 通过负载均衡配置实现会话保持
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
