检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
2.0版本优化了使用OBS存储时的密钥认证功能,请在Everest插件升级完成后(从低于1.2.0的版本升级到1.2.0及以上版本),重启集群中使用OBS的全部工作负载,否则工作负载使用OBS存储能力将受影响! 关于Everest插件的版本说明,请参见CCE容器存储插件(Everest)版本发布记录。
filter,在内核以及权限满足时受该漏洞影响。 CCE当前不受影响 判断方法 uname -a查看内核版本号 规避和消减措施 CCE集群节点不受该漏洞影响。对于自建的K8s集群,建议用户对工作负载: 最小权限运行容器 根据社区提供的配置方法配置seccomp 相关链接 https://blog
为什么更换命名空间后无法创建Ingress? 服务发布到ELB,ELB的后端为何会被自动删除? 如何使容器重启后所在容器IP仍保持不变? 如何确认网卡不被集群占用? 删除子网后如何删除安全组规则? 不同命名空间下的Ingress共用监听器时如何同步生效的证书? 如何确认监听器配置生效的Ingress
负载均衡器所在的子网,默认为集群所在子网 参数名 取值范围 默认值 是否允许修改 作用范围 vip_subnet_cidr_id 集群VPC下所有子网 默认集群所在子网的IPv4网络ID 允许 CCE Standard/CCE Turbo 可以指定负载均衡器后端所在子网,默认为集群所在子网。 公网带宽名称
负载均衡器所在的子网,默认为集群所在子网 参数名 取值范围 默认值 是否允许修改 作用范围 vip_subnet_cidr_id 集群VPC下所有子网 默认集群所在子网的IPv4网络ID 允许 CCE Standard/CCE Turbo 可以指定负载均衡器后端所在子网,默认为集群所在子网。 公网带宽名称
建议您采取以下安全防范措施: 通过设置集群Pod安全策略或admission准入机制强制Pod删除CAP_DAC_OVERRIDE系统权限: securityContext: capabilities: drop: ["DAC_OVERRIDE"] 通过使用集群Pod安全策略
CCE节点故障检测 插件介绍 CCE节点故障检测插件(node-problem-detector,简称NPD)是一款监控集群节点异常事件的插件,以及对接第三方监控平台功能的组件。它是一个在每个节点上运行的守护程序,可从不同的守护进程中搜集节点问题并将其报告给apiserver。n
持修改)。详情请参见基础指标。 日志中心自身免费使用,集群内产生的日志都上报并存储在LTS服务,云日志服务的计费项由日志读写流量、日志索引流量、日志存储量的费用组成(有500MB/月的免费额度)。 告警中心自身免费使用,集群内产生的告警由SMN消息通知服务进行推送,在短信数量小于
可能实现容器逃逸,从而获得主机系统的访问权限。成功利用此漏洞可能会导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 判断方法 如果集群未安装CCE AI套件(NVIDIA GPU)插件或插件版本低于2.0.0,则不涉及该漏洞。 CCE AI套件(NVIDIA GPU)插件
支持收集CCE集群控制平面组件日志和Kubernetes审计日志,将日志从CCE控制层采集到您账号的LTS日志服务的日志流中。具体操作,请参见采集控制面组件日志和采集Kubernetes审计日志。 支持收集CCE集群Kubernetes事件,将Kubernetes事件从CCE集群内采集到
解决方法 若您的集群版本为v1.19.16-r7、v1.21.9-r10、v1.23.7-r10及以上,该版本的节点已经切换至chronyd时间同步,请重置节点即可修复该问题。 若您的集群版本不满足要求,建议您将集群升级至v1.19.16-r7、v1.21.9-r10、v1.23.7-r10及以上版本,再重置节点。
networking.k8s.io/access-demo2 created 通过YAML使用Egress规则 容器隧道网络模型集群中,1.23及以上集群版本支持Egress规则操作系统。 场景一:通过网络策略限制Pod只能访问指定地址 图3 ipBlock 目标Pod具有role=db标签,该Pod只允许访问172
spec 存储类 存储类决定了PVC的类型 参数名 取值范围 默认值 是否允许修改 作用范围 storageClassName 集群中存在的存储类 无 支持初始化时配置,不支持后续修改 - 存储类决定了PVC的类型,如块存储、对象存储、文件存储等。一旦指定后不允许修改 配置建议:
作为CRI时不涉及该漏洞。 containerd版本号小于1.4.1-96。 判断方法 在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。 漏洞修复方案 使
自定义指标采集策略:开启后,云原生监控插件支持采集应用的自定义指标。您需要按照Prometheus规范在应用中提供自定义指标,并且暴露自定义指标的接口,然后在集群中使用该应用镜像部署工作负载,Prometheus会通过采集配置对这些指标进行采集。详情请参见使用云原生监控插件监控自定义指标。 对接AOM监控服务
节点资源不足 当节点资源(如内存、CPU等)不足时,集群可能会驱逐部分Pod并将其调度到其他资源充足节点,从而触发容器重建。 节点重启或故障 若由于某些原因重启节点,节点上的容器可能会被销毁并在其他可用节点上重建。当节点发生故障时,集群会检测到该节点不可用,该节点上的容器将在其他可用节点上进行重建。
projectID 是 String 安装时可不填。当前CCE集群所属的项目ID clusterID 是 String 安装时可不填。当前CCE集群的ID clusterName 是 String 当前CCE集群的名称 表4 resources字段数据结构说明 参数 是否必选 参数类型
即可。 PV:PV是PersistentVolume的缩写,译为持久化存储卷,描述的是一个集群里的持久化存储卷,它和节点一样,属于集群级别资源,其对象作用范围是整个Kubernetes集群。PV可以有自己的独立生命周期,不依附于Pod。 PVC:PVC是PersistentVol
iphers参数中添加@SECLEVEL=0字段,以启用对更多TLS版本的支持。更多详情请参见TLS/HTTPS。 登录CCE控制台,进入集群,在左侧导航栏中选择“插件中心”,单击NGINX Ingress控制器下的“管理”。 单击对应控制器实例的“编辑”按钮。 在“nginx 配置参数”中添加以下配置。
CCE节点故障检测插件版本发布记录 表1 CCE节点故障检测插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.19.16 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 v1.31 支持CCE v1.31集群 0.8.10 1.19.11 v1.21 v1.23 v1
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
