创建subpath类型SFS Turbo存储卷 创建SFS Turbo资源,选择网络时,请选择与集群相同的VPC与子网。 新建一个StorageClass的YAML文件,例如sfsturbo-subpath-sc.yaml。 配置示例: apiVersion: storage.k8s.io/v1 allowVolumeExpansion:
通用文件存储(SFS 3.0)在OS中的挂载点修改属组及权限报错 现象描述 将通用文件存储(SFS 3.0)挂载到OS中某个目录后,该目录成为通用文件存储(SFS 3.0)的挂载点,使用chown和chmod命令尝试修改挂载点的属组或权限,会遇到以下报错: chown: changing
挂载文件存储的节点,Pod创建删除卡死 故障现象 在挂载文件存储(SFS或SFS Turbo)的节点上,删除Pod卡在“结束中”,创建Pod卡在“创建中”。 可能原因 后端文件存储被删除,导致无法访问挂载点。 节点与文件存储间网络异常,导致无法访问挂载点。 解决方案 登录挂载文件存
torageClass。 访问模式 极速文件存储类型的存储卷仅支持ReadWriteMany,表示存储卷可以被多个节点以读写方式挂载,详情请参见存储卷访问模式。 极速文件存储 单击“选择极速文件存储”,您可以在新页面中勾选满足要求的极速文件存储,并单击“确定”。 子目录 请填写子目录绝对路径,例如/a/b。
并存储属主和属组均为paas的文件数据。 当前集群升级流程会将/var/paas路径下的文件的属主和属组均重置为paas。 请您参考下述命令排查当前业务Pod中是否将文件数据存储在/var/paas路径下,修改避免使用该路径,并移除该路径下的异常文件后重试检查,通过后可继续升级。
sification.ipynb的过程。 OBS存储数据预置 创建OBS桶,并确认以下文件夹已创建,文件已上传至指定位置(需要使用OBS Browser工具)。 例如:桶内文件路径/文件名,文件下载地址可至github中指定项目的指定路径下查找,示例如1、2所示。 models/
配置等问题导致的敏感信息泄密。 容器镜像签名验证 容器镜像签名验证插件(swr-cosign)提供镜像验签功能,可以对镜像文件进行数字签名验证,以确保镜像文件的完整性和真实性,有效地防止软件被篡改或植入恶意代码,保障用户的安全。 其他插件 插件名称 插件简介 Kubernetes
业务容器内存使用超过容器的内存限制量时,触发cgroup OOM,被系统内核终止。容器cgroup OOM在CentOS 7会偶现触发ext4文件系统卡死,ext4/jbd2会因为死锁而永远挂起。在文件系统上执行I/O的所有任务都将受到影响。 解决方法 临时解决方案:该问题触发后可以通过重启节点临时恢复。 长久解决方案:
S或kubernetes.io/tls类型的密钥。 以创建IngressTLS密钥证书为例。如图1: 图1 创建密钥 密钥数据中上传的证书文件和私钥文件必须是配套的,不然会出现无效的情况。 解决方法 一般情况下,您需要从证书提供商处获取有效的合法证书。如果您需要在测试环境下使用,您可以自建证书和私钥,方法如下:
ssor)三个组件,支持通过json或者hcl格式的模板文件,可以灵活组合这三种组件并行地、自动化地创建镜像文件。 Packer作为镜像制作的工具有如下优势: 构建过程自动化:创建镜像的过程变成可以通过Packer配置文件的形式固化,支持自动化构建。 云平台兼容性强:原生支持对接
client-certificate-data String 客户端证书。 client-key-data String 包含来自TLS客户端密钥文件的PEM编码数据。 表8 Contexts 参数 参数类型 描述 name String 上下文的名称。 若不存在publicIp(虚拟机
ubPath volume挂载的容器,访问卷外的文件和目录,包括主机文件系统上的文件和目录。 容器使用subPath去挂载一些文件或者目录时,攻击者可能利用Symlink Exchange 访问除挂载目录之外的目录或者主机上的文件,造成越权。 表1 漏洞信息 漏洞类型 CVE-ID
预置镜像到SWR 在K8s内运行Spark任务,需要构建相同版本的Spark容器镜像,并将其上传到SWR。在编译Spark时,会自动生成配套的Dockerfile文件,您可通过此文件制作镜像并上传至SWR。 制作镜像。 cd ~/spark-obs docker build -t spark:3
io/dockerconfigjson类型时,输入私有镜像仓库的账号和密码。 当密钥为kubernetes.io/tls或IngressTLS类型时,上传证书文件和私钥文件。 说明: 证书是自签名或CA签名过的凭据,用来进行身份认证。 证书请求是对签名的请求,需要使用私钥进行签名。 密钥标签 密钥的标
/usr/local/bin 获取kubectl配置文件 在集群“概览”页中的“连接信息”版块,单击kubectl后的“配置”按钮,查看kubectl的连接信息,并在弹出页面中选择“内网访问”或“公网访问”,然后下载对应的配置文件。 图2 下载配置文件 kubectl配置文件(kubeconfig)用于
是否允许修改 作用范围 Volume Type 四种类型:云硬盘、文件存储、对象存储、极速文件存储 无 支持初始化时配置,不支持后续修改 - CCE当前对接的华为云底层存储类型包括云硬盘、文件存储、对象存储、极速文件存储 父主题: 存储卷
Secret。 执行如下命令,创建名为“ingress-test-secret.yaml”的YAML文件,此处文件名可自定义。 vi ingress-test-secret.yaml YAML文件配置如下: apiVersion: v1 data: tls.crt: LS0******tLS0tCg==
unexpected. 此类异常Pod仅为异常记录,并不实际占用系统资源。 排查步骤 导致文件系统异常的原因有很多,例如物理控制节点的异常开关机。此类异常Pod并不影响正常业务,当系统文件未能恢复,出现大量异常Pod时,可采取以下步骤进行规避排查: 执行以下命令,将该Node标记
该API用于吊销指定集群的用户证书 吊销操作完成后,此证书申请人之前下载的证书和 kubectl 配置文件无法再用于连接集群。此证书申请人可以重新下载证书或 kubectl 配置文件,并使用新下载的文件连接集群 接口约束 吊销用户集群证书首先需要获取用户ID,如何获取 ID: 方式一:如果您
被加密存储。当前secret主要有环境变量和文件挂载两种使用方式。不论使用哪种方式,CCE传递给用户的仍然是用户配置时的数据。因此建议: 用户不应在日志中对相关敏感信息进行记录; 通过文件挂载的方式secret时,默认在容器内映射的文件权限为0644,建议为其配置更严格的权限,例如: