检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在CTS事件列表查看云审计事件 操作场景 用户进入云审计服务创建管理类追踪器后,系统开始记录云服务资源的操作。在创建数据类追踪器后,系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 云审计控制台对用户的操作事件日志保留7天,过期自动删除,不支持人工删除。
72.1.1.0/24,下面介绍实现跨VPC访问的具体步骤。 购买ECS,具体请参见自定义购买ECS。该ECS与集群处于同一区域、不同VPC内,VPC名称为vpc-demo2,网段为10.1.0.0/16,且ECS的IP地址为10.1.1.24。 创建VPC对等连接。 进入控制台
面向云原生2.0的新一代容器集群产品,计算、网络、调度全面加速 标准版本集群,提供商用级的容器集群服务 节点形态 支持虚拟机和裸金属服务器混合 支持虚拟机和裸金属服务器混合 网络 网络模型 云原生网络2.0:面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络1.0:面向性能和规模要求不高的场景。
ing.coreos.com/v1/servicemonitors。 配置建议: 创建新的 自定义资源时,Kubernetes API 服务器会为您所指定的每个版本生成一个新的 RESTful 资源路径。 自定义资源名称的单数形式 自定义资源名称的单数形式 参数名 取值范围 默认值
由于业务发展需要,该企业需要将自建Nginx Ingress迁移到ELB Ingress上。为了保持业务稳定,希望不改变对外提供服务的DNS域名及后端服务器的IP地址。您可以通过在CCE集群上配置ELB Ingress规则,使ELB提供的转发策略与之前一致,然后利用DNS域名解析的权重设置完成流量的迁移。
业界安全研究人员披露runc systemd属性注入漏洞(CVE-024-3154),攻击者可将恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload)注入Pod注解中,进而在宿主机中执行任意操作。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID
(Custom Resource,CR)来满足业务需求。 CRD允许用户创建新的资源类别的同时又不必添加新的Kubernetes API服务器,从而有效提高集群管理的灵活性。 创建CRD 登录CCE控制台。 单击集群名称进入集群,在左侧选择“自定义资源”,在右上角单击“YAML创建”。
支持初始化时配置,不支持后续修改 CCE Standard/CCE Turbo CCE:CCE Standard集群。CCE Standard集群支持虚拟机与裸金属服务器混合、GPU、NPU等异构节点的混合部署,基于高性能网络模型提供全方位、多场景、安全稳定的容器运行环境。 Turbo: CCE Turbo集群。
0.0/16 说明: 如果需要保证节点能正常访问跨节点的Pod,必须添加节点的子网网段。 同理,如果同VPC下的其他ECS节点需要能正常访问Pod IP,必须添加ECS所在子网网段。 表6 扩展控制器配置(仅v1.21及以上版本集群支持) 名称 参数 详情 取值 启用资源配额管理
称即可。 everest.io/crypt-domain-id 否 指定加密卷所属租户的ID,创建加密卷时必须提供该字段。 获取方法:在云服务器控制台,鼠标悬浮至右上角的用户名称并单击“我的凭证”,复制账号ID即可。 everest.io/csi.volume-name-prefix
复制报错信息中的资源ID,进入到VPC服务的安全组界面,根据ID过滤安全组。 单击进入安全组详情界面,选择关联实例页签。 查询该安全组关联的其他资源,例如服务器、弹性网卡实例、辅助弹性网卡实例等。您可以将残留的资源(辅助弹性网卡会自动删除)删除。 以删除残留的弹性网卡为例,您需要前往弹性网卡界面将上一步查询到的网卡删除。
Ingress Controller监听到Ingress资源发生变化时,就会根据其中定义的流量访问规则,在ELB侧重新配置监听器以及后端服务器路由。 当用户进行访问时,流量根据ELB中配置的转发策略转发到关联的各个工作负载。 ELB Ingress Controller的工作原理
imagePullSecrets 无 无 允许 - DNS策略 参数名 取值范围 默认值 是否允许修改 作用范围 dnsPolicy 无 无 允许 - 域名服务器 参数名 取值范围 默认值 是否允许修改 作用范围 dnsConfig.nameservers 无 无 允许 - 搜索域 参数名 取值范围
最小值:1 最大值:300 缺省值:60 kubernetes.io/elb.member_timeout String 等待后端服务器响应超时时间。请求转发后端服务器后,在等待超时member_timeout时长没有响应,负载均衡将终止等待,并返回 HTTP504错误码。 取值:1-300s,默认为60s。
LB或自动创建新的ELB。 健康检查:开启健康检查(不开启则默认为健康检查成功)。 图1 负载均衡配置 前往ELB控制台,查看对应的后端服务器组,健康检查状态正常。 在CCE控制台中查看工作负载状态处于“运行中”。 父主题: 负载均衡(LoadBalancer)
20 8G 40 16G 60 32G 80 64G及以上 110 节点网卡数量说明(仅CCE Turbo集群) CCE Turbo集群ECS节点使用弹性辅助网卡,裸金属节点使用弹性网卡,节点可以创建最大Pod数量与节点可使用网卡数量相关。 图3 节点网卡数 容器网络与主机网络的Pod
漏洞影响 集群使用了聚合API,只要kube-apiserver与聚合API server的网络直接连通,攻击者就可以利用这个漏洞向聚合API服务器发送任何API请求; 如果集群开启了匿名用户访问的权限,则匿名用户也利用这个漏洞。不幸的是Kubernetes默认允许匿名访问,即kube-apiserver的启动参数”--
存储管理 如何扩容容器的存储空间? CCE支持的存储在持久化和多节点挂载方面的有什么区别? 创建CCE节点时可以不添加数据盘吗? CCE集群中的EVS存储卷被删除或者过期后是否可以恢复? 公网访问CCE部署的服务并上传OBS,为何报错找不到host? Pod接口ExtendPathMode:
到数小时不等。 使用说明 标准接口:具备标准Http Restful API接口,用户必须通过编程或第三方工具访问对象存储。 数据共享:服务器、嵌入式设备、IOT设备等所有调用相同路径,均可访问共享的对象存储数据。 公共/私有网络:对象存储数据允许在公网访问,满足互联网应用需求。
为后端服务配置合理的preStop Hook 后端服务滚动更新时,Nginx Ingress Controller会将正在终止的Pod从后端服务器中移除,但会保持还在处理的请求的连接。如果后端服务Pod在收到结束信号后立即退出,可能会导致正在处理的请求失败或部分流量仍被转发到已经退出