检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全组名称为“集群名称-node-xxx”,此安全组关联CCE用户节点。 安全组名称为“集群名称-control-xxx”,此安全组关联CCE控制节点。 图1 查看集群安全组 单击用户节点安全组,确保含有如下规则允许Master节点使用ICMP协议访问节点。 图2 Node节点安全组 若不含有该规则请
对于包周期的存储卷,单击卷名称前往云硬盘控制台,并单击右上角“扩容”。 输入目标容量,并单击“下一步”。 磁盘不支持缩容,建议您合理选择扩容容量。 仔细查看须知后,重新提交包周期订单。 等待云硬盘扩容完成后,返回CCE控制台,单击扩容页面的“刷新”并同步存储卷声明容量。 图3 同步容量 父主题:
etes场景下,默认禁用了seccomp filter,在内核以及权限满足时受该漏洞影响。 CCE当前不受影响 判断方法 uname -a查看内核版本号 规避和消减措施 CCE集群节点不受该漏洞影响。对于自建的K8s集群,建议用户对工作负载: 最小权限运行容器 根据社区提供的配置方法配置seccomp
宿主机中执行任意操作。 CCE集群未使用runc的systemd cgroup特性,因此不受此漏洞影响。 判断方法 您可以在节点上执行命令查看容器引擎使用的cgroup。 容器引擎为containerd的节点,执行以下命令: crictl info |grep -i systemdCgroup
至少有一个未分区且符合规格的数据盘。 排查步骤 您也可以参考以下步骤,通过集群日志查看节点纳管失败的报错信息,然后根据相应的解决方法解决问题: 登录CCE控制台,单击集群列表上方的“操作记录”查看具体的报错信息。 单击“操作记录”窗口中失败状态的报错信息。 根据上一步获取的失败报错信息自行解决后,尝试重新纳管节点。
L2E模式它优先进行二层转发,再进行三层转发。 场景还原: 假定有业务Pod A,它持续对外提供服务,不断被同节点访问收发报文,通过本机k8s service经过容器gw接口进行访问,或者同属本节点的Pod间直接互相访问。在升级、缩容,或者其他原因导致的退出场景,容器A已停止运行,对应的网络资源被回收。此时同节
containerd版本号小于1.4.1-96。 判断方法 在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。 漏洞修复方案 使用可信的镜像,避免使用来源不明
cce_gpu_memory_used{gpu_index="0|1"} 16000 表示GPU0卡上xgpu_index为1的xgpu内存使用量为16000字节。 如您不需要查看xgpu指标,可以通过标签正则进行过滤,如: cce_gpu_memory_used{gpu_index=~"[^|]"} 表1 GPU基础监控指标
支持全量检查集群整体运行状况(开通监控中心后),发现集群故障与潜在风险 针对诊断结果,智能给出健康评分 支持定时巡检,并可视化巡检结果 支持查看巡检历史,方便用户分析故障原因 针对故障和潜在风险,给出风险等级并提供修复建议 使用场景 运维对集群做变更前的集群状况检测,可随时主动触发健康诊断
单击操作列“请求订阅”,向该终端发送订阅请求。若终端收到请求,请按照提示进行确认,确认完成后订阅终端状态将变为“已确认”。 查看告警列表 您可以在“告警列表”页面查看最近发送的历史记录。 登录CCE控制台。 在集群列表页面,单击目标集群名称进入详情页。 在左侧导航栏选择“告警中心”,选择“告警列表”页签。
资源消耗 ASM 商用场景 无需修改应用的服务代码,非侵入式治理 界面可视化,灰度发布或蓝绿发布过程中的流量变化可通过拓扑图、曲线图等直观查看 可配置的灰度策略更全面,包括基于流量比例、基于请求内容(Header、Cookie、操作系统、浏览器) 需要为集群启用Istio,占用额外资源
nt的YAML定义即可,比如使用kubectl edit命令将上面Deployment中的镜像修改为nginx:alpine。修改完成后再查询ReplicaSet和Pod,发现创建了一个新的ReplicaSet,Pod也重新创建了。 $ kubectl edit deploy nginx
ding、ingressClass、validatingWebhookConfiguration 解决方案 使用kubectl连接集群。 查找NGINX Ingress相关资源。 className="nginx" namespace="kube-system" className=`if
Master节点的安全组规则,详情请参见集群安全组规则配置。 操作步骤 登录CCE控制台,在左侧导航栏中选择“集群管理”。 单击集群名称,查看总览页面。 在“网络信息”中单击“节点默认安全组”后的“编辑”按钮。 图1 节点默认安全组 选择一个已有的安全组,并确认安全组规则满足集群要求后,单击“确定”。
单击“确定”,完成配置操作。 验证 以8U32G节点为例,并提前在集群中部署一个CPU request为1,limit为2的工作负载。 登录到节点池中的一个节点,查看/var/lib/kubelet/cpu_manager_state输出内容。 cat /var/lib/kubelet/cpu_manager_state
、管理应用版本并发布应用到软件仓库。对于使用者而言,使用Helm后不用需要编写复杂的应用部署文件,可以以简单的方式在Kubernetes上查找、安装、升级、回滚、卸载应用程序。 Helm和Kubernetes之间的关系可以如下类比: Helm <–> Kubernetes Apt
io镜像仓库的镜像进行验签。如需对所有镜像验签,请填写**。 单击“安装”。 待插件安装完成后,选择对应的集群,然后单击左侧导航栏的“插件中心”,可筛选“已安装插件”查看相应的插件。 组件说明 表2 swr-cosign组件 容器组件 说明 资源类型 swr-cosign swr-cosign负责对镜像文件
VPC的连接。 图4 ER连接示意图 验证网络连通情况 登录CCE控制台,查找已经添加在VPC下CCE集群。 单击CCE集群名称进入集群,单击左侧导航栏的“节点管理”,查看节点的IP。 图5 CCE侧查看节点IP 登录节点。本示例通过管理控制台远程登录(VNC方式)。 在弹性云服
单击左上角的,在展开的列表中单击“容器 > 云容器引擎 CCE”。 单击相应的集群名称进入“总览”界面,在右侧“网络信息”模块查看容器子网。 图2 容器子网 查看当前从Pod访问公网的情况。登录容器实例,在CloudShell界面输入以下代码。 curl -I huaweicloud
披露/发现时间 权限提升 CVE-2021-4034 高 2022-01-28 漏洞影响 影响版本:所有目前主流的Linux版本 安全版本:查看各Linux厂商安全公告 漏洞处理方案 目前RedHat、Ubuntu、Debian、SUSE等各大Linux厂商均已发布补丁版本修复了该
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
