检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
kubelet v1.18.0~v1.18.3 kubelet v1.17.0~v1.17.6 kubelet<v1.16.11 漏洞修复方案 修改主机内核参数配置net.ipv6.conf.all.accept_ra值为0,以拒绝接收IPv6路由发布。 业务容器结合使用TLS和适当的证书验证,防止中间人欺骗。
域名解析插件(coredns)健康程度 业务节点负载情况 业务节点状态 Pod配置健康程度 Pod负载情况 Pod运行状态 更多内容请参见诊断项及修复方案。 父主题: 健康中心
IAM服务出现区域性故障,且故障期间集群中的IAM临时访问密钥发生过期。 集群内工作负载新建或更新等涉及Pod启动,且需要对接存储卷挂载、负载均衡等功能。 修复方案 请您关注补丁版本发布记录,及时将集群升级至目标版本。已EOS集群版本请升级到在维版本进行修复。 目标集群版本: 1.21版本(于2024/04/30
插件检查异常处理 检查项内容 当前检查项包括以下内容: 检查插件状态是否正常 检查插件是否支持目标版本 解决方案 问题场景一:插件状态异常 请登录CCE控制台,单击集群名称进入集群控制台,前往“插件中心”处查看并处理处于异常状态的插件。 图1 查看插件状态 问题场景二:集群升级的目标版本已经不支持该插件
显示如下: 其中没有设置--authorization-plugin参数,表明Docker未启用AuthZ插件,不会触发该漏洞。 漏洞修复方案 华为云CCE集群未启用docker的AuthZ插件,不会触发CVE-2024-41110漏洞。请勿自行启用--authorization-p
--version 若显示无此命令,则不涉及该漏洞。 若显示nvidia-container-runtime版本低于1.16.2,则涉及该漏洞。 漏洞修复方案 在完成漏洞修复前,避免在集群中运行不可信的容器镜像。 CCE已发布新版本插件修复该漏洞,请关注CCE AI套件(NVIDIA GPU)版本发布记录。
CPU管理策略通过kubelet参数--cpu-manager-policy来指定。Kubernetes默认支持两种策略: none:默认策略,显式地启用现有的默认CPU亲和方案,不提供操作系统调度器默认行为之外的亲和性策略。 static:针对CPU申请值设置为整数的Guaranteed Pods ,它允许该类P
8(ARM场景)或EulerOS 2.9。 2. 节点OS镜像使用了Ubuntu。 EulerOS 2.5 和CentOS 7.6的集群节点不受该漏洞影响。 漏洞修复方案 容器内进程使用非root用户启动的进程可以通过为工作负载配置安全计算模式seccomp,建议配置RuntimeDefault模式或者禁用
节点上CCE Agent版本检查异常处理 检查项内容 检测当前节点的CCE包管理组件cce-agent是否为最新版本。 解决方案 问题场景一: 错误信息为“you cce-agent no update, please restart it”。 该问题是由于cce-agent没有
器逃逸,使攻击者能够访问宿主机的文件系统。 您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。 以非root用户运行 通过capabi
在CCE中安装部署Jenkins 在CCE中安装部署Jenkins方案概述 资源和成本规划 实施步骤 父主题: DevOps
9、EulerOS 2.10操作系统,采用如下命令查看内核版本: uname -a 若查询结果在3.15-6.8之间,则受该漏洞影响。 漏洞消减方案 建议容器工作负载设置seccomp,示例如下: 针对Huawei Cloud EulerOS 2.0、Ubuntu 22.04、EulerOS
Taints: key1=value1:NoSchedule ... 表1 存在资源压力的节点状况及解决方案 节点状况 节点污点 驱逐信号 描述 解决方案 MemoryPressure node.kubernetes.io/memory-pressure memory.available
监控中心开通失败,插件状态异常。 解决方案:请前往“插件管理”页面查看已安装插件列表,单击云原生监控插件名称,展开实例列表,检查状态为异常的Pod的事件,根据界面报错信息排查异常原因。 图4 插件状态异常 成功进入监控中心页面,但页面数据为空。 解决方案: 请前往“插件中心”页面查看已
使用Jenkins和Gitlab实现多集群隔离的DevOps流程 方案概述 资源规划 实施步骤 父主题: DevOps
节点池缩容时,如果缩容已变更规格的节点,将导致实际缩容的CPU/内存数(4U8G)大于预期缩容的CPU/内存数(2U4G),使得被缩容的CPU/内存资源过多。 解决方案 不建议您变更节点池中节点的规格,您可以使用更新节点池功能为节点池添加其他规格的节点,然后等待业务调度至新节点后,将原节点缩容。 登录CC
tainerd,获取节点容器状态信息。 编译平台类应用,通过sock文件连接Docker/Containerd,创建程序编译用容器。 解决方案 问题场景一:检查到应用存在该异常,进行整改。 推荐您使用挂载目录的方式挂载sock文件。例如,若宿主机sock文件路径为/var/run/docker
模板(Helm Chart) 模板概述 通过模板部署应用 Helm v2与Helm v3的差异及适配方案 通过Helm v2客户端部署应用 通过Helm v3客户端部署应用 Helm v2 Release转换成Helm v3 Release
allowedUnsafeSysctls v1.19以上 docker /etc/docker/daemon.json dm.basesize v1.19以上 解决方案 如您对这些文件的某些参数进行修改,有可能导致升级之后出现异常情况。如果您不能确认自行修改的参数是否会影响到升级,请联系技术人员确认。 父主题:
什么是云原生网络2.0网络模式,适用于什么场景? 云原生网络2.0是什么 云原生网络2.0是新一代容器网络模型,深度整合了虚拟私有云VPC的原生弹性网卡(Elastic Network Interface,简称ENI)能力,采用VPC网段分配容器地址,支持ELB直通容器,享有高性能。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
