检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
负载均衡器上,实现数据传输加密。详细信息请参见SSL证书。 Secret Secret是Kubernetes中一种加密存储的资源对象,用户可以将认证信息、证书、私钥等保存在密钥中,在容器启动时以环境变量等方式加载到容器中。 详细信息请参见Secret。 父主题: 安全
因为token有效期为24小时,所以这里设置了一个每12小时获取新的token的定时任务 # 注意:如果账号权限发生变更(如主账号变更子账号权限,导致子账号权限发生变更),变更前获取的token会失效,需要重新获取。 # 另外,您可以增加获取失败重试的操作,以提升可用性
建完成可用(Available)状态。 查看使用效果 在CCI控制台的Pod页面,找到使用镜像快照创建的实例,进入详情页面。在事件页签下,可以看到该实例匹配了镜像缓存;如果挂载镜像快照失败,也会有相应报错信息。 通过kubectl使用镜像快照 通过kubectl使用镜像快照请参见使用镜像快照。
套餐包使用完后将自动变更为按需计费模式。 变更规格 支持变更Pod规格。 支持变更Pod规格。 适用场景 适用于计算资源需求波动的场景,可以随时开通,随时删除。 一般适用于电商抢购等设备需求量瞬间大幅波动的场景。 父主题: 计费模式
Rating: Medium (6.4) CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H。攻击者可以通过截取某些发送至节点kubelet的升级请求,通过请求中原有的访问凭据转发请求至其它目标节点,攻击者可利用该漏洞提升权限。 参考链接:https://github
on manager)中没有包含对Pod中挂载的/etc/hosts文件的临时存储占用量管理,因此在特定的攻击场景下,一个挂载了/etc/hosts的Pod可以通过对该文件的大量数据写入占满节点的存储空间,从而造成节点的拒绝访问(Denial of Service)。 参考链接:https://github
projectID = "<账号ID,可以在我的凭证获取>"; String domainID = "<项目ID,可以在我的凭证获取>"; String securityGroupID = "<安全组ID,可以在安全组控制台获取>";
outer Advertisement技术。路由器会定期向节点通告网络状态,包括路由记录。客户端会通过NDP进行自身网络配置。 恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录,实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知,但是如果D
将宿主机端口映射到容器上 使用type=LoadBalancer的负载均衡 DaemonSet DaemonSet(守护进程集)在集群的每个节点上运行一个Pod,且保证只有一个Pod 通过sidecar形式在Pod中部署多个容器 Privileged权限 容器拥有privileged权限 使用Security
针对短时运行的Pod(Job/CronJob),可能存在由于运行时间过短而误报卷挂载超时的情况,如果这类短时运行任务属于正常退出,则该误报对业务没有影响可以忽略。 父主题: 存储管理类
探针执行容器中的命令并检查命令退出的状态码,如果状态码为0则说明健康。 例如,您如果希望使用“cat /tmp/healthy”命令检查/tmp/healthy目录是否存在,则可以如下图配置。 图1 检查 公共参数说明 表1 健康检查参数说明 参数 参数说明 延迟时间 延迟时间,单位为秒。例如,设置为10,表示从容器启动后10秒开始探测。
为Pod指定EIP的ID 创建Pod时,填写yangtse.io/eip-id的annotation后,EIP会随Pod自动完成绑定。 以下示例创建一个名为nginx的实例数为1的无状态负载,EIP将随Pod自动绑定至Pod。具体字段含义见表1。 apiVersion: apps/v1 kind:
对于管理员创建IAM用户接口,返回如图1所示的消息头,其中“X-Subject-Token”就是需要获取的用户Token。有了Token之后,您就可以使用Token认证调用其他API。 建议在配置文件或者环境变量中密文存放,使用时解密,确保安全。 图1 管理员创建IAM用户响应消息头 响应消息体(可选)
tes节点的设置允许相邻主机绕过本地主机边界进行访问。 Kubernetes集群节点上如果有绑定在127.0.0.1上的服务,则该服务可以被同一个LAN或二层网络上的主机访问,从而获取接口信息。如果绑定在端口上的服务没有设置身份验证,则会导致该服务容易受到攻击。 参考链接: https://github
hyper send process initiated event: error 其他定位方法 负载异常有可能是容器中运行的应用启动异常,这时可以通过手动执行启动命令,根据错误提示进行问题定位和修复。通常的做法如下: 为工作负载配置如下类型的启动命令,这样pod启动后没有启动应用程序,没有执行任何操作。
trying to access CCI with existing config (default true) 同一个kubeconfig可以包含多个环境、认证信息,用户可以通过同一份IAM认证配置,仅修改cci-endpoint生成多个region的kubeconfig,例如: #
动态EIPPool,即根据用户在EIPPool中填写的配置,动态创建底层的EIP资源,同时在CCI命名空间下创建相应的EIP对象。 以下示例创建了一个名为eippool-demo1的动态EIPPool,具体字段含义见表1。 动态创建独占带宽类型的EIPPool,无需指定带宽ID,示例如下:
EIP随Pod创建 创建Pod时,填写pod-with-eip的annotation后,EIP会随Pod自动创建并绑定至该Pod。 以下示例创建一个名为nginx的无状态负载,EIP将随Pod自动创建并绑定至Pod。具体字段含义见表1。 创建独占带宽类型的Deployment,无需指定带宽ID,示例如下:
对于挂载了云硬盘存储卷的Pod,实例缩容时不会同步删除云硬盘。且再次创建相同名称的Pod时,无法挂载云硬盘。 弹性伸缩 当前仅支持无状态负载弹性伸缩。 您可以根据业务需求自行定义伸缩策略,降低人为反复调整资源以应对业务变化和高峰压力的工作量,帮助您节约资源和人力成本。当前支持三种弹性伸缩策略:
规整,以达到合理利用资源并满足CCI资源规格的目的。本章节将详细介绍如何进行资源规格的规整。 约束与限制 弹性到CCI的pod需要至少有一个容器有CPU的limit或者request限制。 本节的资源规整算法仅适用于云原生bursting,CCI 2.0的console和API有独立的Pod规格规整算法。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
