检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
18.5 kubelet v1.17.0~v1.17.8 kubelet<v1.16.13 漏洞修复方案 建议您采取以下安全防范措施: 通过设置集群Pod安全策略或admission准入机制强制Pod删除CAP_DAC_OVERRIDE系统权限: securityContext:
集群删除 集群删除失败:安全组中存在残留资源 冻结或不可用的集群删除后如何清除残留资源 父主题: 集群
插件 插件概述 容器调度与弹性插件 云原生可观测性插件 云原生异构计算插件 容器网络插件 容器存储插件 容器安全插件 其他插件
命名空间权限(Kubernetes RBAC授权) 示例:某部门权限设计及配置 CCE控制台的权限依赖 ServiceAccount Token安全性提升说明 系统委托说明
工作负载 工作负载概述 创建工作负载 配置工作负载 调度工作负载 登录容器实例 管理工作负载 管理自定义资源 Pod安全配置 工作负载最佳实践
插件简介 CCE节点故障检测插件(node-problem-detector,简称NPD)是一款监控集群节点异常事件的插件,以及对接第三方监控平台功能的组件。它是一个在每个节点上运行的守护程序,可从不同的守护进程中搜集节点问题并将其报告给apiserver。node-problem-
管理集群 修改CCE集群配置 开启集群过载控制 变更集群规格 更改集群节点的默认安全组 删除集群 禁止删除集群 休眠/唤醒按需计费集群 续费包年/包月集群 按需计费集群转包周期 父主题: 集群
支持的集群版本 更新特性 1.2.0 v1.15 v1.17 v1.19 v1.21 支持EulerOS 2.0 (SP5,SP9) 配置安全加固 功能优化 父主题: 插件版本发布记录
Agent视图 Prometheus Agent是轻量化的容器监控模式,可以收集有关主机和应用程序的指标数据,并将数据上报并存储到AOM或三方监控平台。Prometheus Agent视图展示了Prometheus提供的一些内置指标,可用于监控和度量系统的性能和状态。 指标说明 Prometheus
果筛选出的网卡“名称”或者“描述”里包含当前集群的ID,表示网卡被集群占用。 删除子网后,集群节点安全组不会自动清理该子网对应的规则,请确认集群中不存在该子网下的网卡后手动清理安全组规则。 父主题: 云原生网络2.0模型
节点池Pod安全组配置(仅CCE Turbo集群可见) 名称 参数 参数说明 取值 修改说明 节点池上Pod默认使用的安全组 security_groups_for_nodepool 可填写安全组 ID,不配置则使用集群容器网络的默认安全组,并且最多可同时指定5个安全组ID,中间以英文分号(;)分隔。
使用场景 企业按企业的组织结构或业务形态,将账号有序组织集中管理。统一资源管理并与其他成员共享,节省资源重复配置。统一安全运维管理,便于企业集中配置安全策略,利于审计跟踪。 例如,资源所有者为企业IT账号,创建VPC及子网,并将多个子网分别共享给其他账号: 账号A为企业业务账号,使用子网1创建资源。
执行以下命令检查域名在权威DNS的解析是否生效。 nslookup -qt=类型 域名 权威DNS地址 检查集群节点安全组规则,确认30000-32767范围内的业务端口在入方向对所有网段放开。如需对安全组进行加固,详情请参见集群安全组规则配置。 检查Service是否可以正常访问容器内业务,检查集群内部可能存在的问题。
配置工作负载 安全运行时与普通运行时 设置时区同步 设置镜像拉取策略 使用第三方镜像 设置容器规格 设置容器生命周期 设置容器健康检查 设置环境变量 设置性能管理配置 设置工作负载升级策略 设置容忍策略 设置标签与注解 父主题: 工作负载
节点IP 支持随机分配。 关联安全组 指定节点池创建出来的节点使用哪个安全组。最多选择5个安全组。 创建集群时会默认创建一个节点安全组,名称为{集群名}-cce-node-{随机ID},默认会使用该安全组。 节点安全组需要放通一些端口以保障节点通信,如选择其他安全组,需要放通这些端口,具体请参见集群安全组说明。
VPC网络叠加容器网络,性能有一定损耗 容器网络隔离 Pod可直接关联安全组,基于安全组的隔离策略,支持集群内外部统一的安全隔离。 隧道网络模式:集群内部网络隔离策略,支持Networkpolicy。 VPC网络模式:不支持 安全 隔离性 物理机:安全容器,支持虚机级别的隔离 虚拟机:普通容器,Cgroups隔离
00(北京时间)转商 集群网络、存储功能可靠性加固说明 关于CCE集群Docker支持策略公告 ServiceAccount Token安全性提升说明 Helm V2 升级Helm V3 公告 CCE集群IPVS转发模式下conn_reuse_mode问题说明 CCE Turbo集群正式发布,敬请购买使用
CCE容器存储(Flexvolume,已废弃) 插件简介 CCE容器存储(FlexVolume),即storage-driver,是一款云存储驱动插件,北向遵循标准容器平台存储驱动接口。实现Kubernetes Flex Volume标准接口,提供容器使用EVS块存储、SFS文件存储、OBS 对象存储、SFS
17版本集群停止维护公告 集群版本公告 2022/11/29 19 ServiceAccount Token安全性提升说明 产品变更公告 2022/11/24 20 Kubernetes安全漏洞公告(CVE-2022-3172) 漏洞公告 2022/09/23 21 Linux Kernel
如何设置CCE集群中的VPC网段和子网网段? 如何设置CCE集群中的容器网段? 什么是云原生网络2.0网络模式,适用于什么场景? 什么是弹性网卡? 集群安全组规则配置 创建CCE Turbo集群时如何设置IPv6服务网段 CCE集群的节点是否支持绑定多网卡? 父主题: 网络管理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
