检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
HTTP/2协议拒绝服务漏洞公告(CVE-2023-4487) 漏洞详情 此漏洞允许恶意攻击者发起针对HTTP/2 服务器的DDoS攻击,使用 HEADERS 和 RST_STREAM发送一组HTTP请求,并重复此模式以在目标 HTTP/2 服务器上生成大量流量。通过在单个连接中打包多个
如何修改kube-state-metrics组件的采集配置? 问题描述 kube-prometheus-stack插件的kube-state-metrics组件负责将Prometheus的metrics数据格式转换成K8s API接口能识别的格式。kube-state-metrics
kube-prometheus-stack插件 插件简介 kube-prometheus-stack通过使用Prometheus Operator和Prometheus,提供简单易用的端到端Kubernetes集群监控能力,同时还具备自定义插件规格、对接Grafana、高可用、节点亲和等能力
k8sreplicalimits 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:* 参数: ranges: min_replicas: 整型 max_replicas: 整型 作用 要求具有“spec.replicas”字段的对象(Deployments、ReplicaSets
k8simagedigests 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 容器镜像必须包含digest。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints.gatekeeper.sh
数据规划 在AWS基础设施上构建多云集群时,将自动在AWS控制台创建以下资源,请确保资源配额足够: 表1 资源数量 资源类型 EC2 NAT VPC 子网 路由表 互联网网关 弹性IP 安全组 网络ACL ELB 网络接口 存储卷 数量 3台 3个 1个 6个 7个 1个 3个 5
访问日志的响应标记解读 UH(没有健康后端) 含义 UH(NoHealthyUpstream)表示上游服务没有健康的后端实例。 典型现象 目标服务的后端实例都不可用,如构造将目标服务的实例数设置为0。 典型日志 客户端日志。 应对建议 检查目标服务的负载配置,确认服务的实例均正常运行
runC漏洞对UCS服务的影响说明(CVE-2024-21626) 漏洞详情 runC是一个基于OCI标准实现的一个轻量级容器运行工具,是Docker、Containerd、Kubernetes等容器软件的核心基础组件。近日,runC社区发布最新版本,修复了一处高危级别的容器逃逸漏洞
集群联邦升级前检查不通过怎么办? 问题背景 升级集群联邦前,UCS会对联邦运行状态、集群运行状态、集群接入状态三方面进行检查,尽可能避免升级失败。如有检查异常项,请先参考本章节内容排查与修复问题。问题修复后,可以尝试再次升级集群联邦。 升级联邦前,请您对联邦运行状态、集群运行状态、
创建配置项 配置项(ConfigMap)是一种用于存储工作负载所需配置信息的资源类型,内容由用户决定。配置项创建完成后,可在容器工作负载中作为文件或者环境变量使用。 配置项允许您将配置文件从容器镜像中解耦,从而增强容器工作负载的可移植性。 配置项价值如下: 使用配置项功能可以帮您管理不同环境
集群评估 将应用从一个环境迁移到另一个环境是一项具有挑战性的任务,因此您需要进行仔细的规划和准备。kspider是一款用于采集源集群信息的工具,它向用户提供了集群的Kubernetes版本、规模、工作负载数量、存储以及正在使用的镜像等数据,这些信息有助于用户了解集群的当前状况,评估迁移风险
k8spspallowprivilegeescalationcontainer 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“allowPrivilegeEscalation
k8sexternalips 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数: allowedIPs:字符串数组 作用 限制服务externalIP仅为允许的IP地址列表。 策略实例示例 服务的externalIP仅允许allowedIPs中定义的IP
重定向 开启重定向,可以在客户端将对目标地址的请求重定向到配置的新的目标地址。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: ratings-route
访问日志各字段解读 sidercar会在标准输出中打印访问日志,istio 1.18及以上版本的访问日志提供JSON格式的内容,下面以如下istio日志为例对每个字段的含义进行解读,解读内容见下表。 { "start_time": "%START_TIME%", "route_name
VPC子网网段不能与第三方云中已使用的网络网段重叠,否则将无法接入集群,例如,第三方云中已使用的VPC子网为192.168.1.0/24,那么华为云VPC中不能使用192.168.1.0/24这个子网。
同region集群打通方法 以两个北京四集群为例,网格控制面也位于北京四,两个集群在不同的VPC中,需要使用VPC对等连接打通网络以使用网格功能。 网段约束 各集群所在的VPC网段不能冲突。 各集群所设置的容器网段不能冲突。 CCE网络插件实现会在路由表中添加路由,为了防止路由冲突造成网络无法联通
UCS服务的计费方式如何由按需改为包年/包月? 当前UCS支持“按需计费”和“包年/包月”两种计费方式。当您希望以包年/包月套餐包的优惠价格使用UCS时,只需按照所接入UCS的集群类型、集群规模购买对应的套餐包,即可由按需计费模式转变为包年/包月计费模式。 父主题: 计费相关
集群在何种状态下时,UCS会产生计费? 集群状态的变化会影响UCS对其vCPU数量的统计,从而影响UCS服务的计费。若集群需要使用UCS服务,请保证其在正常运行状态;若集群不再需要使用,请及时注销,避免持续扣款。 不同集群状态是否造成UCS计费的情况见表1 集群状态与计费。 表1
集群因策略拦截开启监控失败怎么办? 问题现象 集群开启监控时,接口返回报错,报错信息中含有gatekeeper字段。 集群开启监控请求下发成功,但是监控状态一直显示“安装中”,超时后显示“安装失败”,前往集群中检查插件的Pod状态,Pod的事件中含有gatekeeper字段。 原因分析
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
