检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
2024-08-19 漏洞影响 在社区ingress-nginx控制器v1.11.2之前的版本中,攻击者若具备在Kubernetes集群中创建Ingress对象(属于networking.k8s.io或extensions API 组)的权限,可能绕过注解验证并注入任意命令,从而获取ingress
状态工作负载、守护进程集的快速升级。 本文以无状态工作负载为例说明如何进行升级。 若需要更换镜像或镜像版本,您需要提前将镜像上传到容器镜像服务,上传方法请参见通过Docker客户端上传镜像。 登录CCE控制台,进入一个已有的集群,在左侧导航栏中选择“工作负载”。 选择“无状态负载
Pod 拉取镜像失败 FailedPullImage 重要 检查Pod是否拉取镜像成功。 Pod 启动重试失败 BackOffStart 重要 检查Pod是否重启失败。 Pod 调度失败 FailedScheduling 重要 检查Pod是否调度成功。 Pod 拉取镜像重试失败 BackOffPullImage
spec是集合类的元素类型,您对需要管理的集群对象进行详细描述的主体部分都在spec中给出。CCE通过spec的描述来创建或更新对象。 约束限制: 不涉及 status ClusterStatus object 参数解释: 不涉及集合类的元素类型,用于记录对象在系统中的当前状态信息,包含了集群状态和本次创建集群作业的jobID
信息与集群环境解耦,有效避免程序硬编码或明文配置等问题导致的敏感信息泄密。 容器镜像签名验证 容器镜像签名验证插件(swr-cosign)提供镜像验签功能,可以对镜像文件进行数字签名验证,以确保镜像文件的完整性和真实性,有效地防止软件被篡改或植入恶意代码,保障用户的安全。 其他插件
创建VPC和子网 背景信息 在创建集群之前,您需要创建虚拟私有云(VPC),为CCE服务提供一个安全、隔离的网络环境。 如果用户已有VPC,可重复使用,不需多次创建。 创建VPC 登录管理控制台,选择“网络 > 虚拟私有云 VPC”。 在虚拟私有云控制台,单击右上角的“创建虚拟私有云”,按照提示完成创建。
问Pod的结果就会变得不可预知。 Pod的IP地址是在Pod启动后才被分配,在启动前并不知道Pod的IP地址。 应用往往都是由多个运行相同镜像的一组Pod组成,逐个访问Pod也变得不现实。 举个例子,假设有这样一个应用程序,使用Deployment创建了前台和后台,前台会调用后台
如何设置CCE集群中的VPC网段和子网网段? VPC中的子网网段一旦创建,便无法更改。创建虚拟私有云时,请预留一定的VPC网段和子网网段资源,避免后续无法扩容。 子网网段可在“创建虚拟私有云”页面的“子网配置 > 子网网段”中进行设置。在设置选项下可查看到“可用IP数”。 容器网
方案。 当前CCE不建议该类节点进行升级,建议您在升级前重置节点至标准内核版本。 问题场景二:特殊版本镜像存在缺陷 检查到本次升级涉及1.17 欧拉2.8 Arm镜像,该版本镜像存在缺陷,其上docker重启后将影响"docker exec"命令,升级集群版本时将触发docker
请求端集群为VPC网络模型时,目的端集群的节点安全组需放通请求端集群的VPC网段(包含节点子网)和容器网段。 请求端集群为容器隧道网络模型时,目的端集群的节点安全组需放通请求端集群的VPC网段(包含节点子网)。 请求端集群为云原生网络2.0模型时,目的端集群的ENI安全组和节点安全
find a match: socat 说明镜像未自带socat镜像,请手动下载rpm包,执行以下命令安装,其中rpm包名请根据实际情况进行替换: rpm -i socat-1.7.3.2-8.oe1.x86_64.rpm 表1 socat镜像rpm包下载地址 操作系统 下载地址 EulerOS
#registry.k8s.io为webhook官网镜像仓库,需要替换成自己镜像所在仓库地址 image: ingress-nginx/kube-webhook-certgen #webhook镜像 tag: v1.1.1
请确保CCE侧集群中没有与被迁移集群侧相同的资源,因为Velero工具在检测到相同资源时,默认不进行恢复。 为确保集群迁移后容器镜像资源可以正常拉取,请将镜像资源迁移至容器镜像服务(SWR)。 CCE不支持ReadWriteMany的云硬盘存储,在原集群中存在该类型资源时,需要先修改为ReadWriteOnce。
获取驱动链接-OBS地址 将驱动上传到对象存储服务OBS中,并将驱动文件设置为公共读,方法请参见上传文件。 节点重启时会重新下载驱动进行安装,请保证驱动的OBS桶链接长期有效。 在桶列表单击待操作的桶,进入“概览”页面。 在左侧导航栏,单击“对象”。 单击目标对象名称,在对象详情页复制驱动链接。 图5
containers: - image: nginx #若使用“开源镜像中心”的镜像,可直接填写镜像名称;若使用“我的镜像”中的镜像,请在SWR中获取具体镜像地址。 imagePullPolicy: Always name:
执行时发生集群异常,恢复后会出现service删除成功,但是LB的监听器和后端服务器组残留。 预创建CCE集群,在集群内使用nginx官方镜像创建工作负载、预置lb、各类型service、ingress等资源。 保持集群正常运行,nginx负载处于稳态。 持续间隔每20s创建删除10个lb类型的service。
到期未续费时,资源首先会进入宽限期,宽限期到期后仍未续费,资源状态变为“已冻结”。 超过宽限期仍未续费将进入保留期,如果保留期内仍未续费,资源将被自动删除。 华为云为客户提供充分的时间进行续费与充值,当您的包周期资源到期未续订或按需资源欠费时会依次进入宽限期和保留期,详情请参见宽限期保留期。 在资源到
VPC网络模型说明 VPC网络模型 VPC网络模型将虚拟私有云VPC的路由方式与底层网络深度整合,适用于高性能场景,但节点数量受限于虚拟私有云VPC的路由配额。在VPC网络模型中,容器网段独立于节点网段进行单独设置。在容器IP地址分配时,集群中的每个节点会被分配固定大小的容器IP
CCE集群支持通过IAM服务认证鉴权,您可以通过IAM认证调用接口连接到集群。 证书认证 系统生成:默认开启X509认证模式,X509是一种非常通用的证书格式。 自有证书:您可以将自定义证书添加到集群中,用自定义证书进行认证。 您需要分别上传自己的CA根证书、客户端证书和客户端证书私钥。 注意: 请上传
称时,该云服务器名称的修改将无法同步到CCE控制台。更多说明请参见云服务器名称、节点名称与K8s节点名称说明。 不支持同步数据:操作系统、镜像ID、磁盘配置。 同步单个云服务器 登录CCE控制台,单击集群名称进入集群。 在集群控制台左侧导航栏中选择“节点管理”,切换至“节点”页签。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
