检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
com/kubernetes/dashboard/releases/tag/v1.10.1 漏洞影响 如果您的Kubernetes集群中独立部署了Kubernetes Dashboard v1.10及之前版本(v1.7.0-v1.10.0),同时支持登录功能且使用了自定义证书。 漏洞修复方案
的一行,在指定的时间周期运行指定的Job。 任务负载的这种用完即停止的特性特别适合一次性任务,比如持续集成。 创建Job 以下是一个Job配置,其计算π到2000位并打印输出。Job结束需要运行50个Pod,这个示例中就是打印π 50次,并行运行5个Pod,Pod如果失败最多重试5次。
发了OOMkill。 解决方法: 扩大工作负载内存的limit设置。 示例 本例将创建一个Pod尝试分配超过其限制的内存,如下这个Pod的配置文档,它申请50M的内存, 内存限制设置为100M。 memory-request-limit-2.yaml,此处仅为示例: apiVersion:
在左侧导航栏中选择“集群管理”,单击要创建节点的集群进入集群控制台。 在集群控制台左侧导航栏中选择“节点管理”,切换至“节点”页签并单击右上角的“创建节点”,在节点配置步骤中设置节点参数。 以下为开启安全加固关键参数设置,其余参数请根据需求设置。 在“操作系统”中选择“Huawei Cloud EulerOS
conn_reuse_mode=0时,IPVS不会对新连接进行重新负载,而是复用之前的负载结果,将新连接转发到原来的RS(IPVS的后端)上。 当net.ipv4.vs.conn_reuse_mode=1时,IPVS则会对新连接进行重新负载。 IPVS连接复用参数带来的问题 问题1
CRI运行时,且使用了未知来源的恶意镜像。使用docker作为CRI时不涉及该漏洞。 containerd版本号小于1.4.1-96。 判断方法 在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。
格变更成功。 当集群规格变更为1000节点及以上时,为了保证集群性能,集群部分参数值会根据集群的规格进行自动调整,详情请参见修改CCE集群配置。 图2 操作记录 父主题: 管理集群
21版本的集群升级到v1.23版本,原有已创建的资源不受影响,但新建与编辑场景将会遇到v1beta1 API 版本被拦截的情况。 具体yaml配置结构变更可参考文档通过Kubectl命令行创建ELB Ingress。 父主题: 升级前检查异常问题排查
volume上执行基本擦除(rm -rf / thevolume / *),可被再次声明使用。 Delete:对于支持删除回收策略的卷插件,删除操作将从 Kubernetes 中删除 PersistentVolume 对象,并删除外部基础架构中的关联存储资产。动态配置的卷继承其 StorageClass,默认为
rd/Turbo集群。 使用通用文件存储(SFS 3.0)作为CCE 容器业务存储时,需要先配置VPC终端节点,通过VPC终端节点与通用文件存储(SFS 3.0)建立通信。详情请参见配置VPC终端节点。 操作步骤 基于通用文件存储(SFS 3.0)创建一个PVC。 cat << EOF
CCE集群支持创建裸金属节点(容器隧道网络) 支持AI加速型节点(搭载海思Ascend 310 AI处理器),适用于图像识别、视频处理、推理计算以及机器学习等场景 支持配置docker baseSize 支持命名空间亲和调度 支持节点数据盘划分用户空间 支持集群cpu管理策略 支持集群下的节点跨子网(容器隧道网络)
CCE集群支持创建裸金属节点(容器隧道网络) 支持AI加速型节点(搭载海思Ascend 310 AI处理器),适用于图像识别、视频处理、推理计算以及机器学习等场景 支持配置docker baseSize 支持命名空间亲和调度 支持节点数据盘划分用户空间 支持集群cpu管理策略 支持集群下的节点跨子网(容器隧道网络)
Turbo集群非主机网络容器的流量统计,以及节点内容器联通性健康检查。 字段说明 表1 参数描述 参数 是否必选 参数类型 描述 basic 否 object 插件基础配置参数,无需指定。 flavor 是 表2 object 插件规格参数 custom 是 表3 object 插件自定义参数 表2 flavor
PreCheckTask spec 是 PrecheckSpec object 参数解释: spec是集合类的元素类型,您对需要升级前检查的配置信息的主体部分都在spec中给出。CCE通过spec的描述来执行检查。 约束限制: 不涉及 表3 PrecheckSpec 参数 是否必选
CCE集群containerd版本低于1.5.11以下的集群。 判断方法 在node节点上使用root用户执行containerd --version查看containerd版本。 新Console上的“节点管理”处也可以查看运行时版本。 漏洞修复方案 容器 entrypoint 使用
发布记录。 CCE补丁版本:格式形如v1.30.4-rN,处于维护期的Kubernetes版本会不定期地发布新的补丁版本。当新的补丁版本较上一版本提供了新的特性、Bugfix、漏洞修复或场景优化时,N版本号增加。关于CCE补丁版本详情,请参见补丁版本发布记录。 集群升级 为了方便
登录容器的操作步骤请参见登录容器的方法。 访问结果是否符合预期 如果集群内可以正常访问工作负载,但访问结果不符合预期,则需要进一步排查工作负载配置问题,例如镜像版本、环境变量是否正确。详情请参见工作负载状态正常但未正常工作。 Pod常见异常问题 实例状态 问题描述 处理措施 Pending
0%,但界面上显示的内存使用率低于HPA阈值后并没有发生缩容。 问题根因 界面上显示的容器内存使用率与HPA弹性伸缩的内存使用率在计算方式上存在差异: 界面上显示的容器内存使用率计算方式为:container_memory_rss/内存Limit container_memory_rss(即Resident
Containerd节点上业务容器标准输出不断写入大量日志,导致/var/lib/containerd目录占用空间不断增长,同时节点上容器创删速度变慢,进一步出现磁盘使用率过高、Pod驱逐、节点异常等现象。 问题根因 对于使用Containerd运行时的节点上业务容器,若日志输出方
可能会导致容器逃逸,使攻击者能够访问宿主机的文件系统。 您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。 以非root用户运行 通过
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
