检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
字节/秒 节点上的Pod每秒发送的字节数 接收数据包速率 个/秒 节点上的Pod每秒接收的数据包个数 发送数据包速率 个/秒 节点上的Pod每秒发送的数据包个数 丢包速率(接收) 个/秒 节点上的Pod每秒接收丢失的数据包个数 丢包速率(发送) 个/秒 节点上的Pod每秒发送丢失的数据包个数
送到远端仓库。 源资源过滤器:根据填写的规则过滤Harbor上的镜像。 目标仓库:选择1中创建的目标。 目标 名称空间:填写SWR上的组织名称。 仓库扁平化:用以在复制镜像时减少仓库的层级结构,建议选择“替换所有级”。假设Harbor仓库的层级结构为“library/nginx”
如何让多个Pod均匀部署到各个节点上? Kubernetes中kube-scheduler组件负责Pod的调度,对每一个新创建的 Pod 或者是未被调度的 Pod,kube-scheduler 会选择一个最优的节点去运行这个 Pod。kube-scheduler 给一个 Pod
进行网络通信: 裸金属节点上运行的Pod使用ENI网卡。 ECS节点上运行的Pod使用Sub-ENI网卡,Sub-ENI网卡通过VLAN子接口挂载在ECS的ENI网卡上。 由于需要为每个Pod绑定网卡,因此节点上可运行的Pod数量上限由该节点的能绑定的网卡个数和网卡端口数决定。
用于服务账户令牌的身份验证组件,会验证API请求中使用的令牌是否指定了合法的受众。 配置建议:根据集群服务间通信的需求,精确配置受众列表。此举确保服务账户令牌仅在授权的服务间进行认证使用,提升安全性。 说明: 不正确的配置可能导致服务间认证通信失败,或令牌的验证过程出现错误。 v1
esent)。 图1 设置更新策略 建议您在制作镜像时,每次制作一个新的镜像都使用一个新的Tag,如果不更新Tag只更新镜像,当拉取策略选择为IfNotPresent时,CCE会认为当前节点已经存在这个Tag的镜像,不会重新拉取。 父主题: 配置工作负载
系统会扫描过去一天的审计日志,检查用户是否调用目标K8s版本已废弃的API。 说明: 由于审计日志的时间范围有限,该检查项仅作为辅助手段,集群中可能已使用即将废弃的API,但未在过去一天的审计日志中体现,请您充分排查。 36 节点NetworkManager检查异常处理 检查节点上的NetworkManager状态是否正常。
面定义的规则必须强制满足(require)才会调度Pod到节点上。 后半段IgnoredDuringExecution表示已经在节点上运行的Pod不需要满足下面定义的规则,即去除节点上的某个标签,那些需要节点包含该标签的Pod不会被重新调度。 另外操作符operator的值为In
节点关闭,并可以优雅地终止该节点的Pod。在此更新之前,当节点关闭时,其Pod没有遵循预期的终止生命周期,这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统,并通知正在运行的Pod,使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes
节点关闭,并可以优雅地终止该节点的Pod。在此更新之前,当节点关闭时,其Pod没有遵循预期的终止生命周期,这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统,并通知正在运行的Pod,使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes
用于服务账户令牌的身份验证组件,会验证API请求中使用的令牌是否指定了合法的受众。 配置建议:根据集群服务间通信的需求,精确配置受众列表。此举确保服务账户令牌仅在授权的服务间进行认证使用,提升安全性。 说明: 不正确的配置可能导致服务间认证通信失败,或令牌的验证过程出现错误。
利用runc的符号链接以及条件竞争漏洞,最终可能会导致容器逃逸,使攻击者能够访问宿主机的文件系统。 您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。
(停止维护)Kubernetes 1.17版本说明 云容器引擎(CCE)严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.17版本所做的变更说明。 资源变更与弃用 apps/v1beta1和apps/v1beta2下所有资源不再提供服务,使用apps/v1替代。 extensions/v
(停止维护)Kubernetes 1.17版本说明 云容器引擎(CCE)严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.17版本所做的变更说明。 资源变更与弃用 apps/v1beta1和apps/v1beta2下所有资源不再提供服务,使用apps/v1替代。 extensions/v
行恶意动态链接库中的恶意程序,由于恶意程序继承runc打开的文件句柄,可以通过该文件句柄替换host上的runc。 此后,再次执行runc相关的命令,则会产生逃逸。 该漏洞影响范围如下: 本次漏洞对所有采用runc的容器引擎均生效,runc是Docker容器的核心组件,因此对绝大
务变更时将Pod尽量调度到新的节点池上。 Volcano的目标是在业务负载未配置节点软亲和时,在调度层将业务的Pod软调度到指定节点上。 调度优先级介绍 节点池软亲和调度,是通过节点池上的标签(Label)进行软亲和,具体是通过给每一个节点进行打分的机制来排序筛选最优节点。 原则
回显如下,表示网络已通。 图6 网络回显结果 重复上述过程,依次确认节点的连通性。 如果存在ping对端VPC的节点不通,可能存在如下情况,请依次确认: 集群节点的安全组规则是否放通ICMP协议。 VPC的路由表是否存在网段冲突。请额外注意,容器网段也不可与默认的企业路由器网段冲突,详情请参见规划组网。
端口”的形式访问工作负载。工作负载可被公网访问。 容器端口:指容器中工作负载启动监听的端口。端口根据每个业务的不同而不同,一般在容器镜像中已指定。 服务端口:指该容器工作负载发布为服务后,所设定的服务端口号,请填写1-65535之间的整数值。 节点端口:指容器映射到节点上的端口。
> 节点”页面,单击节点操作列的“更多 > 开启/关闭节点缩容保护”按钮操作。 节点上存在指定不缩容标记的Pod时,该节点将不会被缩容。 节点上的部分容器存在可靠性等配置策略时,将有可能不会自动缩容。 节点上存在kube-system命名空间下的非DaemonSet类容器时,该节点将不会被缩容。
则所有进出该命名空间中的Pod的流量都被允许。 NetworkPolicy的规则可以选择如下3种: namespaceSelector:根据命名空间的标签选择,具有该标签的命名空间都可以访问。 podSelector:根据Pod的标签选择,具有该标签的Pod都可以访问。 ipB
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
