检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
NGINX Ingress控制器验证绕过漏洞公告(CVE-2024-7646) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 验证绕过、命令注入 CVE-2024-7646 严重 2024-08-19 漏洞影响 在社区ingress-nginx控制器v1
明 方向 端口 默认源地址 说明 是否支持修改 修改建议 入方向规则 TCP:5444 VPC网段 kube-apiserver服务端口,提供K8s资源的生命周期管理。 不可修改 不涉及 TCP:5444 容器网段 TCP:9443 VPC网段 Node节点网络插件访问Master节点。
9镜像中有进行安全增强,移除系统中部分非安全或过期知名证书配置,部分第三方镜像在其他类型节点上未报错,在EulerOS 2.9系统报此错误属正常现象,也可通过下述解决方案进行处理。 解决方案: 确认报错unknown authority的第三方镜像服务器地址和端口。 从"实例拉取
检查项一自检 针对Nginx类型的Ingress资源,查看对应Ingress的YAML,如Ingress的YAML中未指定Ingress类型,并确认该Ingress由Nginx Ingress Controller管理,则说明该Ingress资源存在风险。关于该问题的触发原因详情,请参见问题根因。
String 唯一id标识 name String 资源名称 labels Map<String,String> 资源标签,key/value对格式,接口保留字段,填写不会生效 annotations Map<String,String> 资源注解,由key/value组成 updateTimestamp
and CLOUD_SDK_SK in the local environment ak = os.environ["CLOUD_SDK_AK"] sk = os.environ["CLOUD_SDK_SK"] projectId = "{project_id}"
Kubernetes社区v1.16版本中废弃的API 当某API被废弃时,已经创建的资源对象不受影响,但新建或编辑该资源时将出现API版本被拦截的情况。 表2 Kubernetes社区v1.29版本中废弃的API 资源名称 废弃API版本 替代API版本 变更说明 FlowSchema 和
同一用户在使用CloudShell组件连接CCE集群或容器时,限制同时打开的实例上限数量为15个。 使用CloudShell连接集群 CloudShell是一款用于管理与运维云资源的网页版Shell工具,CCE支持使用CloudShell连接集群,如图1所示,单击“命令行工具”即可在CloudShell中使用kubectl访问集群。
"default" 示例:授予某类Kubernetes资源权限 上面几个示例都是集群全部资源(cluster-admin)、命名空间全部资源(admin、view),也可以对某类Kubernetes资源授权,如Pod、Deployment、Service这些资源,具体请参见自定义命名空间权限(kubectl)。
创建有状态负载时,实例间发现服务是指什么? 云容器引擎的实例间发现服务,在原生Kubernetes中称之为Headless Service。Headless Service也是一种Service,但是会在YAML中定义spec.clusterIP: None,也就是不需要Cluster
监控CoreDNS运行状态 CoreDNS通过标准的Promethues接口暴露出解析结果等健康指标,发现CoreDNS服务端甚至上游DNS服务器的异常。 CoreDNS自身metrics数据接口,默认zone侦听{$POD_IP}:9153,请保持此默认值,否则普罗无法采集coredns
Apache containerd安全漏洞公告(CVE-2020-15257) 漏洞详情 CVE-2020-15257是containerd官方发布的一处Docker容器逃逸漏洞。containerd是一个支持Docker和常见Kubernetes配置的容器运行时管理组件,它处理
传统模式。 无本地存储的轻量化模式指标数据存储于AOM,您的Grafana等应用需要对接至AOM。该模式集群内资源占用非常低,可以显著节省您的计算和存储成本,AOM服务按照上报的指标量进行计费,其中,基础指标免费,自定义指标按量计费;自定义指标可以按需废弃,您可以仅保留基础免费指标使用AOM。
map/ admissionWebhooks 否 表7 Ingress资源准入校验配置。 metrics 否 表9 监控指标配置。 defaultBackendService 否 String 默认404服务,按 <namespace>/<service_name> 格式。 extraArgs
对象存储卷概述 为满足数据持久化的需求,CCE支持将对象存储服务(OBS)创建的存储卷挂载到容器的某一路径下,对象存储适用于云工作负载、数据分析、内容分析和热点对象等场景。 图1 CCE挂载对象存储卷 约束限制 安全容器不支持使用对象存储卷。 OBS限制单用户创建100个桶,但是
Standard集群: 弹性云服务器-虚拟机:基于弹性云服务器部署容器服务。 弹性云服务器-物理机:基于擎天架构的服务器部署容器服务。 裸金属服务器:基于裸金属服务器部署容器服务,需要挂载本地盘或支持挂载云硬盘。 CCE Turbo集群: 弹性云服务器-虚拟机:基于弹性云服务器部署容器服务,仅支持可添加多张弹性网卡的机型。
服务发布到ELB,ELB的后端为何会被自动删除? 问题描述: 服务发布到ELB,工作负载已正常,但服务的pod端口未及时发布出来,ELB里的后端会被自动删除。 问题解答: 创建ELB时候,如果ELB健康检查失败,后端服务器组会删除,而且后续服务正常以后也不会添加。如果是更新已有的SVC时则不会删除。
开启“获取客户端IP”开关。 图1 开启开关 更新服务所关联的网关 登录CCE控制台,单击集群名称进入集群,在左侧选择“服务发现”。 在“服务发现”页面,切换至istio-system命名空间,并更新服务所关联的网关服务。 将istio-system命名空间下自动生成的Service改为节点级别。
into the current release 表示集群内已经创建了对应的ClusterRole资源,但是该资源不是由插件管理的。 解决方案 手动使用kubectl删除非插件管理的冲突的资源后,重试插件的安装。 安装超时 问题现象 安装/升级插件时,提示安装失败,错误信息显示 timed
{镜像ID} 请勿删除cce-pause等系统镜像,否则可能导致无法正常创建容器。 方案二:扩容磁盘 在EVS控制台扩容数据盘。详情请参见扩容云硬盘容量。 在EVS控制台扩容成功后,仅扩大了云硬盘的存储容量,还需要执行后续步骤扩容逻辑卷和文件系统。 登录CCE控制台,进入集群,在左侧
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
