检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
11。 漏洞影响 集群使用了聚合API,只要kube-apiserver与聚合API server的网络直接连通,攻击者就可以利用这个漏洞向聚合API服务器发送任何API请求; 如果集群开启了匿名用户访问的权限,则匿名用户也利用这个漏洞。不幸的是Kubernetes默认允许匿名访
及以上版本 其他更高版本的集群 约束与限制 创建灰度Ingress后,不应删除原Ingress。 单个ELB下的监听器,如果关联的多个Ingress配置了多个灰度策略,按HTTP请求头的灰度策略优先级最高,按Cookie的灰度策略次之,按比例的灰度策略优先级最低。 该特性依赖ELB高
所有的metrics都可以设置任意的多维标签。 数据模型更随意,不需要刻意设置为以点分隔的字符串。 可以对数据模型进行聚合,切割和切片操作。 支持双精度浮点类型,标签可以设为全unicode。 灵活而强大的查询语句(PromQL):在同一个查询语句,可以对多个metrics进行乘法、加法、连接、取分数位等操作。
解决方案 避免服务中断可以从Deployment和Service两类资源入手: Deployment可以采用滚动升级的升级方式,为对各个实例逐个进行更新,而不是同时对所有实例进行全部更新,可以控制Pod的更新速度和并发数,从而确保了升级过程中业务不中断。例如,可以设置maxSurge
差异说明 将节点容器引擎从Docker迁移到Containerd 节点系统参数优化 配置节点故障检测策略 创建节点时执行安装前/后脚本 云服务器事件处理建议 父主题: 节点
/dev/vdb Device /dev/vdb excluded by a filter 这是由于添加的磁盘是在另一个虚拟机中新建的,已经存在了分区表,当前虚拟机并不能识别磁盘的分区表,运行parted命令重做分区表,中途需要输入三次命令。 root@host1:~# parted
PI。 使用HPA(Horizontal Pod Autoscaler)配合Metrics Server可以实现基于CPU和内存的自动弹性伸缩,再配合Prometheus还可以实现自定义监控指标的自动弹性伸缩。 HPA主要流程如图1所示。 图1 HPA流程图 HPA的核心有如下2个部分:
的CoreDNS版本。CCE的插件管理中心提供了CoreDNS的安装及升级功能。您可以定义关注集群中的CoreDNS版本,如果版本可以升级请尽快安排业务无缝升级集群中的CoreDNS组件。 您可以通过以下流程升级集群中的CoreDNS: 登录CCE控制台,选择一个集群,在左侧导航栏中单击“插件中心”。
Namespaced/Cluster 无 允许 CCE Standard/CCE Turbo 基于 CRD 对象所创建的自定义资源可以是名字空间作用域的,也可以是集群作用域的 自定义资源名称属性 自定义资源名称属性 参数名 取值范围 默认值 是否允许修改 作用范围 spec.names
请以华为云管理控制台显示为准。 完成本实践所需的资源如下: 表1 资源和成本规划 资源 资源说明 数量 费用(元) 弹性云服务器ECS 建议选择按需计费。 虚拟机类型:通用计算增强型 节点规格:4核 | 8GiB 操作系统:Ubuntu 22.04 系统盘:40GiB | 通用型SSD
迁移节点 您可以将同一个集群下节点在节点池间进行迁移,具体迁移场景如表1。 表1 迁移场景 迁移场景 是否支持迁移 操作步骤 原节点池 待迁移的目标节点池 自定义节点池 默认节点池(DefaultPool) 支持迁移 将自定义节点池中的节点迁移到默认节点池 默认节点池(DefaultPool)
当按需节点池中的节点转成包年/包月后,该节点不支持弹性缩容。 按需节点转包年/包月 按需计费节点绑定的资源(云硬盘、弹性公网IP)可能不支持同步变更计费模式,详情请参见弹性云服务器ECS按需转包年/包月说明。 按需节点池中的节点转成包年/包月时,请在节点列表中找到目标节点并单击“更多>开启节点缩容保护”,然后再进行转包年/包月操作。
支持初始化时配置,不支持后续修改 CCE Standard/CCE Turbo CCE:CCE Standard集群。CCE Standard集群支持虚拟机与裸金属服务器混合、GPU、NPU等异构节点的混合部署,基于高性能网络模型提供全方位、多场景、安全稳定的容器运行环境。 Turbo: CCE Turbo集群。
的.spec.schedulingGates,您可以控制Pod何时准备好进行调度。详情请参见Pod调度就绪态。 通过Kubernetes API访问节点日志 此功能当前处于Alpha阶段。集群管理员可以直接查询节点上的服务日志,可以帮助调试节点上运行的服务问题。如需使用此功能,请
的.spec.schedulingGates,您可以控制Pod何时准备好进行调度。详情请参见Pod调度就绪态。 通过Kubernetes API访问节点日志 此功能当前处于Alpha阶段。集群管理员可以直接查询节点上的服务日志,可以帮助调试节点上运行的服务问题。如需使用此功能,请
Kubernetes原生配置 为您提供典型的原生配置选项,您可以在此设置kube-apiserver、kube-controller等社区原生管理组件的配置,为您的集群在海量场景下提供最佳的云原生体验。 集群服务器配置(kube-apiserver) 容器故障迁移默认容忍周期 容
等待工作负载创建成功,创建成功后在有状态负载下会显示一个运行中的工作负载。 您需要在集群所在VPC下准备一台已绑定弹性公网IP的ECS虚拟机。 在ECS虚拟机上安装kubectl命令行工具。 您可以尝试执行kubectl version命令判断是否已安装kubectl,如果已经安装kubectl,则可跳过此步骤。
当攻击者拥有主机网络配置能力或运行在一个具备了CAP_NET_RAW能力的容器实例时,就可以获取在目标节点上监听了127.0.0.1的服务socket信息。如果在目标主机上存在127.0.0.1可以访问到且不需要任何认证鉴权的暴露服务,那么该服务信息就能被攻击者获取。问题详情请参见Placeholder
如果需要转包周期,需要设置BSS Administrator权限。 节点管理 弹性云服务器 ECS 当IAM用户权限为CCE Administrator时,如果创建和删除节点,需要配置ECS FullAccess或ECS Administrator权限,以及VPC Administrator权限。
节点安全组中的实例互相访问不做限制。 不可修改 不涉及 TCP:22 所有IP地址(0.0.0.0/0) 允许SSH远程连接Linux弹性云服务器。 建议修改 不涉及 出方向规则 全部 所有IP地址(0.0.0.0/0) 默认全部放通,通常情况下不建议修改。 可修改 如需加固出方
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
