检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
v1.17.0~v1.17.8 kubelet<v1.16.13 漏洞修复方案 建议您采取以下安全防范措施: 通过设置集群Pod安全策略或admission准入机制强制Pod删除CAP_DAC_OVERRIDE系统权限: securityContext: capabilities:
不可调度,升级完成的批次支持调度新业务。 节点操作系统不升级 插件在目标版本集群不兼容时自动升级 K8s组件自动升级 可一键式升级,用户无需迁移业务,可以基本上保证业务不断。 原地升级仅在v1.15及以上版本集群支持。 迁移 将老版本集群的业务迁移到新版本集群,适用于需要大幅度跨版本集群升级的需求。
传输文件总量很大的话,会消耗很多资源,目前proxy分配内存128M,在压测场景下,损耗非常大,最终导致请求失败。 目前压测所有流量都经过Proxy,业务量大就要加大分配资源。 解决方法 传文件涉及大量报文复制,会占用内存,建议把Proxy内存根据实际场景调高后再进行访问和上传。 可以考虑把
如何驱逐节点上的所有Pod? 您可使用kubectl drain命令从节点安全地逐出所有Pod。 默认情况下,kubectl drain命令会保留某些系统级Pod不被驱逐,例如everest-csi-driver。 使用kubectl连接集群。 查看集群中的节点。 kubectl get node
target_service_port 无 无 允许 CCE Standard/CCE Turbo 健康检查端口 重新指定的健康检查端口,不指定时默认使用业务端口。 参数名 取值范围 默认值 是否允许修改 作用范围 monitor_port 无 无 允许 CCE Standard/CCE Turbo
TP请求方法、HTTP请求头、查询字符串、网段、Cookie等请求参数匹配不同的监听器(每个监听器对应一个ELB访问端口),便于灵活地分流业务,合理分配资源。 图1 高级转发规则示意图 前提条件 已创建一个CCE Standard或CCE Turbo集群,且集群版本满足以下要求:
那集群中包含有哪些网络,各自的用处是什么,具体请参见集群网络构成。 集群中的Pod是如何访问的:访问Pod就是访问容器,也就是访问用户的业务,Kubernetes提供Service和Ingress来解决Pod的访问问题。本章节根据用户使用场景总结了常见的网络访问场景,让您能够在不同使用场景下选择合适的使用方法。
企业按企业的组织结构或业务形态,将账号有序组织集中管理。统一资源管理并与其他成员共享,节省资源重复配置。统一安全运维管理,便于企业集中配置安全策略,利于审计跟踪。 例如,资源所有者为企业IT账号,创建VPC及子网,并将多个子网分别共享给其他账号: 账号A为企业业务账号,使用子网1创建资源。
引擎,不同的集群类型、集群版本、操作系统可能导致支持的容器引擎类型不同,请根据控制台呈现进行选择。具体场景请参见节点操作系统与容器引擎对应关系。 操作系统 选择操作系统类型,不同类型节点支持的操作系统有所不同。 公共镜像:请选择节点对应的操作系统。 私有镜像:支持使用私有镜像,私
内部错误异常处理 检查项内容 该检查非常规检查项,表示升级前检查流程中出现了内部错误。 解决方案 该问题出现后,请您优先重试升级前检查; 若重试升级前检查仍失败,请您提交工单,联系技术支持人员。 父主题: 升级前检查异常问题排查
显示如下: 其中没有设置--authorization-plugin参数,表明Docker未启用AuthZ插件,不会触发该漏洞。 漏洞修复方案 华为云CCE集群未启用docker的AuthZ插件,不会触发CVE-2024-41110漏洞。请勿自行启用--authorization-p
从上述输出的信息中,可以看到该节点的GPU驱动版本为460.32.03。 漏洞修复方案 请您根据漏洞影响范围,将节点升级到对应驱动版本进行漏洞修复: 若您升级了NVIDIA GPU驱动,需重启GPU节点,重启节点将会短暂影响您的业务。 如果节点驱动版本为418系列,请升级驱动至418.181.07版本。
Ingress Controller,绑定两个不同的ELB实例来满足这类需求场景。 图1 多个Nginx Ingress应用场景 解决方案 您可以通过以下方案,实现在同一个集群中部署多个Nginx Ingress Controller。 (推荐)安装NGINX Ingress控制器插件
节点交换区检查异常处理 检查项内容 检查集群CCE节点的上是否开启了交换区。 解决方案 CCE节点默认关闭swap交换区,请您确认手动开启交换区的原因,并确定关闭影响; 若确定无影响后请执行swapoff -a命令关闭交换区之后重新检查。 父主题: 升级前检查异常问题排查
行一个预热程序之类),这时把请求转给Pod的话,Pod也无法处理,造成请求失败。 Kubernetes解决这个问题的方法就是给Pod加一个业务就绪探针Readiness Probe,当检测到Pod就绪后才允许Service将请求转给Pod。 Readiness Probe同样是周
Ingress实现灰度发布和蓝绿发布的应用场景、用法详解及实践步骤。 应用场景 使用Nginx Ingress实现灰度发布适用场景主要取决于业务流量切分的策略,目前Nginx Ingress支持基于Header、Cookie和服务权重三种流量切分的策略,基于这三种策略可实现以下两种发布场景:
检查到您的节点上镜像数量过多(>1000个),可能导致docker启动过慢,影响docker标准输出,影响nginx等功能的正常使用。 解决方案 请手动删除残留的镜像,防止后续升级异常; 删除镜像之后请您重新进行升级前检查 父主题: 升级前检查异常问题排查
Guaranteed BestEffort类型的Pod:系统用完了全部内存时,该类型Pod会最先被终止。 Burstable类型的Pod:系统用完了全部内存,且没有BestEffort容器可以终止时,该类型Pod会被终止。 Guaranteed类型的Pod:系统用完了全部内存、且没有Burstabl
检查项内容 当前检查项包括以下内容: 检查当前节点DNS配置是否能正常解析OBS地址 检查当前节点是否能访问存储升级组件包的OBS地址 解决方案 节点升级过程中,需要从OBS拉取升级组件包。此项检查失败,请联系技术人员支持。 父主题: 升级前检查异常问题排查
{镜像ID} 请勿删除cce-pause等系统镜像,否则可能导致无法正常创建容器。 方案二:扩容磁盘 在EVS控制台扩容数据盘。详情请参见扩容云硬盘容量。 在EVS控制台扩容成功后,仅扩大了云硬盘的存储容量,还需要执行后续步骤扩容逻辑卷和文件系统。 登录CCE控制台,进入集群,在左侧
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
