检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
节点数应大于CoreDNS副本数,避免单个节点上运行多个CoreDNS副本。 登录CCE控制台,进入集群,单击左侧导航栏的“节点管理”。 切换至“节点”页签,选择CoreDNS需要独占的节点,单击“标签与污点管理”。 添加以下标签: 标签键:node-role.kubernetes.io/coredns 标签值:true
<none> <none> 进入网络控制台,右侧导航栏单击“虚拟私有云 > 子网”,单击对应的子网名称。 单击“IP地址管理”,“IP地址管理”中若有Pod对应的IP地址则说明子网绑定成功。 图8 查看子网绑定的IP地址 验证安全组是否绑定成功。 返回网络控制台,右侧导航栏单击“访问控制
AI处理器),适用于图像识别、视频处理、推理计算以及机器学习等场景 支持配置docker baseSize 支持命名空间亲和调度 支持节点数据盘划分用户空间 支持集群cpu管理策略 支持集群下的节点跨子网(容器隧道网络) v1.13.7-r0 主要特性: Kubernetes同步社区1.13.7版本 支持网络平面
CCE服务会自动创建“CCE-Cluster-ID=<集群ID>”、“CCE-Cluster-Name=<集群名称>”、“CCE-Namespace=<命名空间名称>”的系统标签,您无法自定义修改。 说明: 专属存储类型的动态存储卷创建完成后,不支持在CCE侧更新资源标签。如需更新专属存储的资源标签,请前往专属存储控制台。
docker info |grep "Cgroup" 显示如下: Cgroup Driver: cgroupfs 表明容器引擎使用的cgroup系统为cgroupfs,并未使用systemd cgroup,不受此漏洞影响。 漏洞修复方案 华为云CCE集群未开启runc的systemd
漏洞。 containerd版本号小于1.4.1-96。 判断方法 在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。 漏洞修复方案 使用可信的镜像,避免使
name}{"\n"}{end}' 若返回值非空,说明存在聚合API Server。 漏洞修复方案 除了升级之外,当前没有直接可用的缓解措施。集群管理员应注意控制权限,防止非受信人员通过APIService接口部署和控制聚合API Server。 该漏洞已在v1.23.5-r0、v1.21
根据集群规模和高可用模式计费。 节点(弹性云服务器 ECS) 实例规格 包括vCPU和内存。 云硬盘 随包年/包月云服务器创建的云硬盘,其计费模式也为包年/包月。包括系统盘和数据盘。 弹性公网IP 通过CCE控制台创建的包年/包月云服务器仅支持绑定“按带宽计费”的弹性公网IP。如需使用“按流量计费”或“加入
在没有开启RBAC的集群,得到该token相当于是得到了整个CCE集群的控制权。在开启RBAC的集群,该token所拥有的权限,取决于环境管理员给这个服务账号关联了什么角色。该服务账号的token一般是给需要访问kube-apiserver的容器使用,如CoreDNS、autos
在NVIDIA Container Toolkit v1.16.1及更早版本的环境中,攻击者通过运行一个恶意镜像,可能实现容器逃逸,从而获得主机系统的访问权限。成功利用此漏洞可能会导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 判断方法 如果集群未安装CCE AI套件(NVIDIA
11版本集群说明 Kubernetes版本(CCE增强版) 版本说明 v1.11.7-r2 主要特性: GPU支持V100类型 集群支持权限管理 v1.11.7-r0 主要特性: Kubernetes同步社区1.11.7版本 支持创建节点池(nodepool),虚拟机/鲲鹏ARM集群均支持
"https://www.example.com/v3/projects" } } 从控制台获取项目ID 从控制台获取项目ID的步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。 在“API凭证”页面的项目列表中查看项目ID。 图1 查看项目ID 父主题:
11版本集群说明 Kubernetes版本(CCE增强版) 版本说明 v1.11.7-r2 主要特性: GPU支持V100类型 集群支持权限管理 v1.11.7-r0 主要特性: Kubernetes同步社区1.11.7版本 支持创建节点池(nodepool),虚拟机/鲲鹏ARM集群均支持
用户可以使用Labels对service资源对象进行标识、组织和选择。标签对于系统运行,没有直接意义,也不用于存储结构化或复杂数据。因为,标签将建立索引和反索引,用于查询和监控。 配置建议: 用户可以使用Labels对service资源对象进行标识、组织和选择。标签对于系统运行,没有直接意义,也不用于存储结构化或复
30 修复部分问题 0.8.10 1.19.8 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 兼容单系统盘 支持插件实例AZ反亲和配置 支持在竞价实例被释放前给节点加污点,驱逐节点上的pod 插件挂载节点时区 适配CCE v1.30集群 0.8
于不同账户下时,选择该项。 当前账户 对端项目 当账户选择“当前账户”时,系统默认填充对应的项目,无需您额外操作。 比如vpc-demo1和vpc-demo2均为账户A下的资源,并且位于区域A,那么此处系统默认显示账户A下,区域A对应的项目。 - 对端VPC 当账户选择“当前账户”时,该项为必选参数。
判断方法 在node节点上使用root用户执行containerd --version查看containerd版本。 新Console上的“节点管理”处也可以查看运行时版本。 漏洞修复方案 容器 entrypoint 使用 capsh工具去除自身的 Inheritable Capabilities。
# OBS桶的名称 fsType: s3fs # obsfs表示并行文件系统;s3fs表示对象桶 volumeAttributes: everest.io/obs-volume-type: STANDARD
Ingress控制器插件修复该漏洞,请留意NGINX Ingress控制器插件版本发布记录。在修复之前,请按最小权限原则,只给予受信用户创建及管理Ingress的权限。 社区已发布nginx-ingress v1.11.2版本修复该漏洞,但该版本仅支持 Kubernetes >= 1
更多详情请参见TLS/HTTPS。 登录CCE控制台,进入集群,在左侧导航栏中选择“插件中心”,单击NGINX Ingress控制器下的“管理”。 单击对应控制器实例的“编辑”按钮。 在“nginx 配置参数”中添加以下配置。 { "ssl-ciphers": "@SECLEVEL=0
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
