检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
由于ECS创建云服务器时本身具有一定反亲和能力,如果仅需云服务器分散的创建在不同主机上以提高业务的可靠性,又不希望节点个数受到云服务器组的限制,请勿绑定云服务器组。 云服务组支持解绑,解绑后存量节点仍属于原云服务器组,新建节点将不再绑定云服务器组。
问题现象 登录到CCE集群的ECS节点,查询存在大量npd进程。 解决方案 升级CCE节点故障检测(简称NPD)插件至最新版本。 登录CCE控制台,进入集群,在左侧导航栏中选择“插件中心”,单击CCE节点故障检测下的“升级”。
Linux Polkit 权限提升漏洞预警(CVE-2021-4034) 漏洞详情 国外安全研究团队披露在polkit的pkexec程序中存在一处权限提升漏洞(CVE-2021-4034,亦称PwnKit),攻击者通过在其默认配置中利用此漏洞实现用任何非特权用户获取易受攻击主机的完全
在监听器详情页面,找到服务器证书并记录。 在CCE控制台中,单击ingress1的“更多 > 更新”,选择证书来源为ELB服务器证书,并配置为上一步骤查询到的服务器证书,单击“确定”更新Ingress配置。
工作负载的容器内的resolv.conf文件,示例如下: 其中: nameserver:DNS服务器的IP地址,此处为coredns的ClusterIP。 search:域名的搜索列表,此处为Kubernetes的常用后缀。
不建议在ECS界面删除CCE集群中的节点。 父主题: 网络异常问题排查
AOM ECS ReadOnlyAccess AOM支持通过在ECS上安装UniAgent和ICAgent获取系统指标、日志数据,因此需要获得该权限。 AOM LTS FullAccess AOM支持访问LTS数据,因此需要获得该权限。
CCE容器运行时的安全配置建议 容器技术通过利用Linux的Namespace和Cgroup技术,实现了容器与宿主机之间的资源隔离与限制。Namespace提供了一种内核级别的环境隔离功能,它能够限制进程的视图,使其只能访问特定的资源集合,如文件系统、网络、进程和用户等。而Cgroup
并发请求/etc/resolve.conf中配置的多个DNS服务器,导致NodeLocal DNSCache的优化失效。 并发使用同一Socket请求A和AAAA记录,在旧版本内核上触发Conntrack源端口冲突导致丢包问题。
Prometheus Server视图 Prometheus本地数据存储模式可以收集有关主机和应用程序的指标数据并存储在集群中,监控数据可以选择上报并存储到AOM或三方监控平台。Prometheus Server视图展示了Prometheus提供的一些内置指标,可用于监控和度量系统的性能和状态
若只希望从集群中的某个Pod访问该ECS,您可以只将该Pod的IP地址添加到ECS安全组的入方向规则中。 进入控制台首页,单击左上角的,在展开的列表中单击“计算 > 弹性云服务器 ECS”,单击相应的弹性云服务器名称。 界面上方单击“安全组”,界面左方单击“配置规则”。
在“基本信息”页签,获取服务器证书ID。 在左侧导航栏选择“弹性负载均衡 > 证书管理”,通过获取的服务器证书ID查询证书,在操作列修改服务器证书。
节点sock文件挂载检查异常处理 检查项内容 检查节点上的Pod是否直接挂载docker/containerd.sock文件。升级过程中Docker/Containerd将会重启,宿主机sock文件发生变化,但是容器内的sock文件不会随之变化,二者不匹配,导致您的业务无法访问Docker
竞价计费 一种后付费模式,即先使用再付费,按照随市场供需关系实时变化的折扣以及云服务器实际使用时长计费,秒级计费,按小时结算。 购买竞价实例需设定“价格上限”,即您愿意为云服务器支付的最高价格。当库存资源紧张或市场价格高于您设置的价格上限时,竞价实例将被中断回收。
自定义上游域名服务器和存根域不能够与这个策略一起使用。 “ClusterFirst”:如果dnsPolicy被设置为“ClusterFirst”,任何与配置的集群域后缀不匹配的DNS查询(例如,www.kubernetes.io)将转发到从该节点继承的上游名称服务器。
建议搭配使用 GPU加速云服务器 + 弹性负载均衡ELB + 对象存储服务OBS 图1 AI计算 父主题: 应用场景
runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465) 漏洞详情 业界安全研究人员披露runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。
监控CCE Turbo集群容器网络扩展指标 CCE容器网络扩展指标插件是一款容器网络流量监控管理插件,可支持CCE Turbo集群非主机网络容器的流量统计,以及节点内容器连通性健康检查。监控信息已适配Prometheus格式,可以通过调用Prometheus接口查看监控数据。 本文以实际示例介绍如何通过
若您自建的Prometheus部署在虚拟机上,则可跳过本步骤。 kubectl exec -ti -n monitoring prometheus-server-0 -- sh 命令中变量可根据实际情况进行替换: monitoring:Prometheus所在的命名空间。
概述 Kubernetes是一个开源的容器编排部署管理平台,用于管理云平台中多个主机上的容器化应用。Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了应用部署、规划、更新、维护的一种机制。 对应用开发者而言,可以把Kubernetes看成一个集群操作系统
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
