检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"] credentials = BasicCredentials(ak
elf/fd/<num>,以实现在容器运行后访问节点文件系统。 工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限,将镜像中WORKDIR设置为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。 漏洞影响 满足上述漏洞利用条件时,容器进程可能逃逸到节点,导致节点信息泄露或执行恶意命令。
如果您需要通过命令行创建,需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。 您已经创建好一块专属盘,并且专属盘满足以下条件: 已有的磁盘不可以是系统盘或共享盘。 磁盘模式需选择SCSI(创建磁盘时默认为VBD模式)。 磁盘的状态可用,且未被其他资源使用。 若磁盘加密,所使用的密钥状态需可用。
serverCert 是 String 安装时可不填。服务端证书,base64加密。由CCE插件中心生成,用于组件之间双向认证,以及webhook请求。需签发域名:*.monitoring.svc。 serverKey 是 String 安装时可不填。服务端私用密钥,base64加密。由CCE插
情页面,查找网络ID。 方法2:通过虚拟私有云服务的查询子网列表接口查询。 节点默认安全组 集群默认的Node节点安全组ID,不指定该字段系统将自动为用户创建默认Node节点安全组,指定该字段时集群将绑定指定的安全组。Node节点安全组需要放通部分端口来保证正常通信。 参数名 取值范围
的目录权限不相同。 umask值用于为用户新创建的文件和目录设置缺省权限。如果umask的值设置过小,会使群组用户或其他用户的权限过大,给系统带来安全威胁。因此设置所有用户默认的umask值为0077,即用户创建的目录默认权限为700,文件的默认权限为600。 可以在启动脚本里面
正常。 问题原因 最初建立的集群中各节点的基本配置为2U4G,且各节点上有kubelet,kube-proxy及docker等相关程序占用系统资源,导致节点可用资源低于2000m,无法满足nginx-ingress插件的要求,从而无法安装。 建议方案 请重新购买节点,节点要求(>=4U8G)。
此更新之前,当节点关闭时,其Pod没有遵循预期的终止生命周期,这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统,并通知正在运行的Pod,使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes.io/默认容器注释为kubectl命令预选容器。
此更新之前,当节点关闭时,其Pod没有遵循预期的终止生命周期,这导致了工作负载问题。现在kubelet可以通过systemd检测即将关闭的系统,并通知正在运行的Pod,使它们优雅地终止。 具有多个容器的Pod现在可以使用kubectl.kubernetes.io/默认容器注释为kubectl命令预选容器。
s-injection=enabled标签,默认:true。命名空间添加标签后会识别命名空间的创建请求并自动添加标签,这些操作的目标不包含系统内置的命名空间(如kube-system)。 multiAZEnable 否 bool 插件中deployment组件多可用部署是否采用强
参数说明 存储卷声明(PVC) 选择已有的对象存储卷。 挂载路径 请输入挂载路径,如:/tmp。 数据存储挂载到容器上的路径。请不要挂载在系统目录下,如“/”、“/var/run”等,会导致容器异常。建议挂载在空目录下,若目录不为空,请确保目录下无影响容器启动的文件,否则文件会被
节点配置文件检查异常处理 检查项内容 检查节点上关键组件的配置文件是否存在。 当前检查文件列表如下: 文件名 文件内容 备注 /opt/cloud/cce/kubernetes/kubelet/kubelet kubelet命令行启动参数 - /opt/cloud/cce/kub
如果要开启该特性,需要给kubelet增加启动参数为--seccomp-default=true,这样会默认开启seccomp为RuntimeDefault,提升整个系统的安全。1.25集群将不再支持使用注解“seccomp.security.alpha.kubernetes.io/pod”和“container
在NVIDIA Container Toolkit v1.16.1及更早版本的环境中,攻击者通过运行一个恶意镜像,可能实现容器逃逸,从而获得主机系统的访问权限。成功利用此漏洞可能会导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 判断方法 如果集群未安装CCE AI套件(NVIDIA
1.13版本集群停止维护公告 发布时间:2022/03/11 根据CCE发布的Kubernetes版本策略中的版本策略,从2022年3月11日起,CCE将对1.13版本集群停止维护。 建议您将集群升级到最新版本,升级操作请参见集群升级。 父主题: 集群版本公告
v1.21及以上版本集群:/var/log/cce/canal v1.19及以下版本集群:/var/paas/sys/log/canal 系统日志 /var/log/messages 容器引擎日志 docker节点:/var/lib/docker containerd节点:/va
paths[].path 无 无 允许 CCE Standard/CCE Turbo Ingress中一条转发策略的访问URL配置 目标服务的名称 路由转发策略的目标服务 参数名 取值范围 默认值 是否允许修改 作用范围 spec.rules[].http.paths[].backend.service
监控中心自身免费使用,监控中心所使用的指标都上报并存储在AOM服务,其中在AOM范畴内的基础指标不收费,存储时长15天(暂不支持修改)。详情请参见基础指标。 日志中心自身免费使用,集群内产生的日志都上报并存储在LTS服务,云日志服务的计费项由日志读写流量、日志索引流量、日志存储量的费用组成(有500MB/月的免费额度)。
Ingress配置URL重写规则 在一些使用场景中后端服务提供访问的URL与Ingress规则中指定的路径不同,而Ingress会将访问路径直接转发到后端相同路径,如果不进行URL重写配置,所有访问都将返回404。例如,Ingress规则中的访问路径设置为/app/demo,而后端服务提供的访问路径为/dem
and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"] credentials = BasicCredentials(ak
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
