检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
外部安全研究人员披露sudo中的堆溢出漏洞(CVE-2021-3156),该漏洞在类似Unix的主要操作系统上都可以使用。在其默认配置下会影响从1.8.2到1.8.31p2的所有旧版本以及从1.9.0到1.9.5p1的所有稳定版本。成功利用此漏洞,任何没有特权的用户都可以在易受攻击的主机上获得root特权。
用于配置Nginx Ingress的注解(Annotations) CCE的Nginx Ingress插件使用社区模板与镜像,Nginx Ingress默认的其他参数无法满足业务需求时,也可通过添加注解Annotation(注解)的方式自定义参数,例如默认后端、超时时间、请求body体大小等。
若恶意用户可以创建一个带有子路径卷挂载的容器,则可以访问卷外的文件和目录,包括主机文件系统上的文件和目录。 集群管理员已限制创建 hostPath 挂载的能力的集群受到的影响最严重。利用该漏洞可以在不使用 hostPath 功能的情况下进行类似 hostPath 的访问,从而绕过限制。 在默认的 Kubernetes
针对不健康的区域,故障节点业务的迁移频率会降级,避免规模故障场景下大规模迁移操作产生更坏的影响 配置建议: 无特殊需求建议保持默认配置 比例配置过大可能导致区域在规模故障场景下仍尝试执行大规模迁移动作,导致集群过载等风险 节点迁移速率 当某区域健康时,在节点故障的情况下每秒删除
开启驱动选择后,NPU插件启动时将自动根据对应机型的驱动配置安装驱动,驱动维护更灵活。推荐使用默认的驱动版本,您也可以选择“自定义驱动”并填写完整的驱动地址。 支持的NPU卡类型和对应的操作系统规格如下: NPU卡类型 支持的操作系统 D310 EulerOS 2.5 x86、CentOS
log-agent是基于开源fluent-bit和opentelemetry构建的云原生日志采集插件。log-agent支持基于CRD的日志采集策略,可以根据您配置的策略规则,对集群中的容器标准输出日志、容器文件日志、节点日志及K8s事件日志进行采集与转发。 父主题: 插件版本发布记录
若nameserver设置为10.247.x.x说明DNS对接到集群的CoreDNS,需要确保集群CoreDNS工作负载运行正常。如果是其他IP地址,则表示采用云上DNS或者用户自建的DNS,请您自行确保解析正常。 更多域名解析异常的排查思路,请参见CCE集群中域名解析失败。 父主题: 网络异常问题排查
对于包年/包月计费模式的资源,例如包年/包月的集群、包年/包月的节点(弹性云服务器)等,用户在购买时会一次性付费,服务将在到期后自动停止使用。 如果在计费周期内不再使用包年/包月资源,您可以执行退订操作,系统将根据资源是否属于五天无理由退订、是否使用代金券和折扣券等条件返还一定金额到您的账户。详细的退订规则请参见云服务退订规则概览。
节点弹性策略创建完成后,可对创建的策略进行删除、编辑、停用、启用、克隆等操作。 查看节点弹性策略 您可以查看节点弹性策略的关联节点池、执行规则和伸缩历史,参照界面中的提示有针对性的解决异常问题。 在CCE控制台,单击集群名称进入集群。 单击左侧导航栏的“节点管理”,单击已创建弹性伸缩策略的节点池名称,查看节点池详情。
找到需要转包年/包月的集群,查看集群的更多操作,并单击“转包年包月”。 在转包年包月页面中,选择需要转包年/包月的集群,您也可以同时选择需要转包年/包月的节点。 图1 按需集群转包年/包月 单击“确定”,等待生成订单并完成支付即可。 按需节点转包年/包月 按需计费节点绑定的资源(云硬盘、
健康检查使用UDP协议的安全组规则说明 操作场景 当负载均衡协议为UDP时,健康检查也采用的UDP协议,您需要打开其后端服务器的ICMP协议安全组规则。关于使用UDP协议健康检查的详细说明,请参见使用UDP协议有什么注意事项?。 操作步骤 登录CCE控制台,单击服务列表中的“网络 > 虚拟私有云
“路由”页签,找到使用该证书的路由,单击“更多 > 更新”。注意,这里可能有多个Ingess引用该证书,所涉及的Ingress都需要进行更新,可以根据Ingress的yaml文件的spec.tls中secretName字段判断是否引用该Secret中的证书。 您可以通过以下kub
如何设置容器内的DNS策略? CCE支持通过dnsPolicy标记每个Pod配置不同的DNS策略: None:表示空的DNS设置,这种方式一般用于想要自定义DNS配置的场景,而且,往往需要和dnsConfig配合一起使用达到自定义DNS的目的。 Default:从运行所在的节点继承名
CCE集群中域名解析失败。 排查思路 以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。 图1 域名解析失败排查思路 当遇到域名解析失败的问题时,首先需要判断是集群内域名还是集群外域名解析失败。
19版本。 最新版本的集群修复了已知的漏洞或者拥有更完善的安全防护机制,新建集群时推荐选择使用最新版本的集群。在集群版本停止提供服务前,请及时升级到新版本。 及时跟踪处理官网发布的漏洞 CCE服务会不定期发布涉及的漏洞,用户需及时关注和处理,参见漏洞公告。 关闭default的servic
漏洞影响 攻击者利用runc的systemd cgroup特性进行攻击,可通过在Pod注解中注入恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload),进而在宿主机中执行任意操作。 CCE集群未使用runc的systemd cgroup特性,因此不受此漏洞影响。
metadata AddonMetadata object 基本信息,为集合类的元素类型,包含一组由不同名称定义的属性 spec InstanceSpec object spec是集合类的元素类型,内容为插件实例具体信息,实例的详细描述主体部分都在spec中给出 status AddonInstanceStatus
14-r0 及以上版本 v1.25集群:v1.25.9-r0 及以上版本 v1.27集群:v1.27.6-r0 及以上版本 v1.28集群:v1.28.4-r0 及以上版本 其他更高版本的集群 约束与限制 创建灰度Ingress后,不应删除原Ingress。 单个ELB下的监听器,如
属本节点的Pod间直接互相访问。在升级、缩容,或者其他原因导致的退出场景,容器A已停止运行,对应的网络资源被回收。此时同节点的报文仍持续尝试在往容器A的IP发送报文。内核中的ipvlan模块首先尝试根据目的IP来二层转发这些报文,但是由于Pod A已无法找到该IP所属的网卡,ip
23 修复重复挂盘偶现挂载后读写失败的问题 1.3.17 v1.19 v1.21 v1.23 调整everest-csi-driver滚动更新的最大不可用数:从10更新到10% 自定义规格支持Pod反亲和 统计节点上可由csi插件管理的scsi卷个数的上限 支持Driver自定义资源规格部署
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
