检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
维度 子维度 CCE Standard CCE Turbo CCE Autopilot 产品定位 - 标准版本集群,提供高可靠、安全的商业级容器集群服务。 面向云原生2.0的新一代容器集群产品,计算、网络、调度全面加速。
对于CCE Turbo集群: 集群内部客户端访问LB类型Service时,默认使用pass-through方式,此时客户端会直接访问ELB私网地址,然后通过ELB直接连接容器实例。
Seccomp Seccomp是一种系统调用过滤机制,它能够限制进程能够使用的系统调用,从而减少潜在的攻击面。Linux操作系统提供了数百个系统调用,但并非所有这些调用对于容器化应用都是必需的。通过限制容器可以执行的系统调用,您可以显著降低应用程序受到攻击的风险。
配置JDK 以CentOS系统为例,安装JDK 1.8。 查询可用的JDK版本。 yum -y list java* 选择安装JDK 1.8。
核心技术 OVS IPVlan,VPC路由 VPC弹性网卡/弹性辅助网卡 适用集群 CCE Standard集群 CCE Standard集群 CCE Turbo集群 容器网络隔离 Pod支持Kubernetes原生NetworkPolicy 否 Pod支持使用安全组隔离 ELB对接
选择“系统预置规格”时,系统会根据不同的预置规格配置插件的实例数及资源配额,具体配置值请以控制台显示为准。 选择“自定义规格”时,您可根据需求调整插件实例数和资源配额。实例数为1时插件不具备高可用能力,当插件实例所在节点异常时可能导致插件功能无法正常使用,请谨慎选择。
约束限制: 仅在turbo集群的BMS节点时,该字段才可配置。
节点远程登录界面(VNC)打印较多source ip_type日志问题 问题场景 集群版本:v1.15.6-r1版本 集群类型:CCE集群 网络模式:VPC网络 节点操作系统:CentOS 7.6 上述节点的容器进行容器间通信时,由于容器网络组件在VNC界面打印较多source ip_type
) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 REC CVE-2024-47076 CVE-2024-47175 CVE-2024-47176 CVE-2024-47177 严重 2024-09-26 漏洞影响 该漏洞主要影响运行 CUPS 打印系统的
若没有可用集群 ,请参照购买Standard/Turbo集群创建。 集群所在VPC下,已创建绑定弹性公网IP的ECS虚拟机,且该ECS通过kubectl连接集群。若没有连接集群,请参照通过kubectl连接集群。
云原生监控插件兼容自建Prometheus 云原生监控插件兼容模式 若您已自建Prometheus,且您的Prometheus基于开源,未做深度定制、未与您的监控系统深度整合,建议您卸载自建Prometheus并直接使用云原生监控插件对您的集群进行监控,无需开启“兼容模式”。
监控采集任务配置由系统预置采集配置、ServiceMonitor采集配置、PodMonitor采集配置和Targets采集配置配置项共同提供。 系统预置采集配置 为保证插件默认行为的一致性,系统预置采集功能默认不开启,强烈建议您开启系统预置采集功能。
前提条件 已创建一个CCE Standard或CCE Turbo集群,且集群版本满足以下要求: v1.23集群:v1.23.12-r0及以上版本 v1.25集群:v1.25.7-r0及以上版本 v1.27集群:v1.27.4-r0及以上版本 v1.28集群:v1.28.2-r0及以上版本
前提条件 已创建一个CCE Standard或CCE Turbo集群,且集群版本满足以下要求: v1.23集群:v1.23.14-r0及以上版本 v1.25集群:v1.25.9-r0及以上版本 v1.27集群:v1.27.6-r0及以上版本 v1.28集群:v1.28.4-r0及以上版本
建议节点操作系统使用EulerOS 2.9或者Ubuntu18.04。 父主题: 其他
在VPC网络集群中访问集群外地址时使用Pod IP作为客户端源IP 在使用VPC网络的CCE集群中,Pod与集群外部通信时,系统默认会将源Pod的IP地址转换为节点的IP地址,使Pod以节点IP的形式与外部进行通信。
前提条件 已创建一个CCE Standard或CCE Turbo集群,且集群版本满足以下要求: v1.23集群:v1.23.14-r0及以上 v1.25集群:v1.25.9-r0及以上 v1.27集群:v1.27.6-r0及以上 v1.28集群:v1.28.4-r0及以上 其他更高版本的集群
漏洞消减方案 建议容器工作负载设置seccomp,示例如下: 针对Huawei Cloud EulerOS 2.0、Ubuntu 22.04、EulerOS 2.9、EulerOS 2.10操作系统,相关团队和CCE已修复该问题,请关注操作系统镜像版本说明。
驱逐后该节点上的Pod如下,节点上仅保留了不可驱逐的系统级Pod。
为什么需要使用容器 更高效的利用系统资源。 容器不需要硬件虚拟化以及运行完整操作系统等额外开销,所以对系统资源利用率更高。相比虚拟机技术,一个相同配置的主机,往往可以运行更多数量的应用。 更快速的启动时间。