检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Kubernetes subpath符号链接交换安全漏洞(CVE-2021- 25741) 漏洞详情 社区在 Kubernetes 中发现了一个安全问题,用户可以创建一个带有subPath volume挂载的容器,访问卷外的文件和目录,包括主机文件系统上的文件和目录。
由于gitRepo存储卷已被弃用,社区建议的解决方案是使用initContainers容器执行Git克隆操作,然后将目录挂载至Pod容器中,请参见社区示例。
Kubernetes 1.30版本说明 云容器引擎(CCE)严格遵循社区一致性认证,现已支持创建Kubernetes 1.30集群。本文介绍Kubernetes 1.30版本的变更说明。
华为云AOM云服务基于Prometheus监控生态,提供了托管式的Prometheus实例 for CCE,适合需要对容器服务集群及其上面运行的应用进行一体化监控场景。
开源现状 目前开源社区ipvlan L2E模式仍存在此问题,已向开源社区反馈,待确认更优方案。 解决方法 打印Dead loop问题本身无需解决。 但推荐服务Pod使用优雅退出,在业务真正终止服务前,优先将Pod设置为删除中的状态,待业务处理完毕请求后再退出。
及时升级集群中的CoreDNS版本 CoreDNS功能较为单一,对不同的Kubernetes版本也实现了较好的兼容性,CCE会定期同步社区bug,升级CoreDNS插件的版本,建议客户定期升级集群的CoreDNS版本。CCE的插件管理中心提供了CoreDNS的安装及升级功能。
关于CCE集群Docker支持策略公告 发布时间:2024/02/19 Kubernetes社区已在v1.24版本移除dockershim,默认不再支持Docker容器引擎。
CCE在Kubernetes社区HPA功能的基础上,增加了应用级别的冷却时间窗和扩缩容阈值等功能。 创建HPA策略 CustomedHPA CCE容器弹性引擎 CustomedHPA提供弹性伸缩增强能力,主要面向无状态工作负载进行弹性扩缩容。
Kubernetes安全漏洞公告(CVE-2022-3172) 漏洞详情 Kubernetes社区在 kube-apiserver 中发现了一个安全问题,该问题允许聚合 API Server将客户端流量重定向到任意 URL,这可能导致客户端执行意外操作以及将客户端的 API 服务器凭据转发给第三方
新增特性及特性增强 社区特性的Alpha阶段默认禁用、Beta阶段一般默认启用、GA阶段将一直默认启用,且不能禁用(会在后续版本中删除这个开关功能)。CCE对新特性的策略与社区保持一致。
限制LoadBalancerIP的使用 由于社区不建议集群管理员向集群内的用户授予service/status对象的patch权限,因此社区没有为LoadBalancerIP提供规避措施。
新增特性及特性增强 社区特性的Alpha阶段默认禁用、Beta阶段一般默认启用、GA阶段将一直默认启用,且不能禁用(会在后续版本中删除这个开关功能)。CCE对新特性的策略与社区保持一致。
网络 虚拟私有云 集群下控制节点和用户节点使用的虚拟私有云。
Deployment 版本记录 表3 v1.31集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.31.8 v1.31 支持CCE v1.31集群 1.31.1 表4 v1.30集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.30.46
容器网络 容器网络模型对比 云原生网络2.0模型 VPC网络模型 容器隧道网络模型 Pod网络配置 父主题: 网络
Kubernetes原生配置 为您提供典型的原生配置选项,您可以在此设置kube-apiserver、kube-controller等社区原生管理组件的配置,为您的集群在海量场景下提供最佳的云原生体验。
将节点容器引擎从Docker迁移到Containerd Kubernetes社区已经在v1.24版本中移除Dockershim,因此建议您将节点容器引擎从Docker逐步迁移至官方推荐的Containerd,以确保未来与Kubernetes版本的兼容性和持续支持。
近日,runc社区发布最新版本,修复了一处高危级别的容器逃逸漏洞(CVE-2024-21626)。由于内部文件描述符泄漏,攻击者可通过控制容器进程的工作目录,或命令路径,将其设置为文件描述符的父级目录下的路径,读写主机任意文件,实现容器逃逸。
在此之后,您仍可以使用您的1.17版本集群,但CCE将不再提供对该版本的技术支持,包含支持新的功能、社区bugfix回合、漏洞修复、升级等。 建议您在版本停止维护前及时将集群升级到最新版本,升级操作请参见集群升级。 父主题: 集群版本公告
Kubernetes网络 容器网络 Service Ingress 就绪探针(Readiness Probe) NetworkPolicy
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
