检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
订,未到期的包年/包月集群可以退订。 公安冻结:已被公安冻结的集群允许续费,不允许释放或删除。被公安冻结的包年/包月集群不允许退订,在退订管理页面仍然显示,只是不能退订。 集群冻结、解冻对业务的影响 集群冻结时:资源将被限制访问和使用,会导致您的业务中断。 资源解冻时:资源将被解
致容器逃逸到宿主机。目前已存在poc,但尚未发现已公开的利用代码。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 资源管理错误 CVE-2022-0185 高 2022-01-27 漏洞影响 容器内用户拥有CAP_SYS_ADMIN权限,并且内核版本在5.1以
AI处理器),适用于图像识别、视频处理、推理计算以及机器学习等场景 支持配置docker baseSize 支持命名空间亲和调度 支持节点数据盘划分用户空间 支持集群cpu管理策略 支持集群下的节点跨子网(容器隧道网络) v1.13.7-r0 主要特性: Kubernetes同步社区1.13.7版本 支持网络平面
漏洞。 containerd版本号小于1.4.1-96。 判断方法 在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。 漏洞修复方案 使用可信的镜像,避免使
网络 虚拟私有云 集群下控制节点和用户节点使用的虚拟私有云。 参数名 取值范围 默认值 是否允许修改 作用范围 HostNetwork.vpc 用户租户下存在的VPC ID 无 支持初始化时配置,不支持后续修改 CCE Standard/CCE Turbo 获取方法如下: 方法1
name}{"\n"}{end}' 若返回值非空,说明存在聚合API Server。 漏洞修复方案 除了升级之外,当前没有直接可用的缓解措施。集群管理员应注意控制权限,防止非受信人员通过APIService接口部署和控制聚合API Server。 该漏洞已在v1.23.5-r0、v1.21
在没有开启RBAC的集群,得到该token相当于是得到了整个CCE集群的控制权。在开启RBAC的集群,该token所拥有的权限,取决于环境管理员给这个服务账号关联了什么角色。该服务账号的token一般是给需要访问kube-apiserver的容器使用,如CoreDNS、autos
支持双精度浮点类型,标签可以设为全unicode。 灵活而强大的查询语句(PromQL):在同一个查询语句,可以对多个metrics进行乘法、加法、连接、取分数位等操作。 易于管理:Prometheus server是一个单独的二进制文件,可直接在本地工作,不依赖于分布式存储。 高效:平均每个采样点仅占 3.5 bytes,且一个Prometheus
登录CCE服务控制台。 在界面中选择需要检查节点所在的集群。 在集群列表页面单击“节点管理”,切换到“节点”一栏,在异常节点所在行单击“监控”。 单击“监控”页签顶部的“查看更多”,前往运维管理页面查看历史监控记录。当节点CPU和内存负载过高时,会导致节点网络时延过高,或系统OOM,最终展示为不可用。
tmpfs-example-001 限制业务容器访问管理面 在节点上的业务容器无需访问kubernetes时,可以通过以下方式禁止节点上的容器网络流量访问到kube-apiserver。 查询容器网段和内网apiserver地址。 在CCE的“集群管理”界面查看集群的容器网段和内网apiserver地址。
Kubelet每秒执行的存储相关操作失败的次数 存储操作时延(99分位) 秒 Kubelet执行存储操作中99%的操作的时延分布情况 控制组管理器操作速率 次/秒 每秒执行销毁或更新操作的次数 控制组管理器操作时延(99分位) 秒 Kubelet执行销毁或更新操作中99%的操作的时延分布情况 PLEG relist速率
11版本集群说明 Kubernetes版本(CCE增强版) 版本说明 v1.11.7-r2 主要特性: GPU支持V100类型 集群支持权限管理 v1.11.7-r0 主要特性: Kubernetes同步社区1.11.7版本 支持创建节点池(nodepool),虚拟机/鲲鹏ARM集群均支持
"https://www.example.com/v3/projects" } } 从控制台获取项目ID 从控制台获取项目ID的步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。 在“API凭证”页面的项目列表中查看项目ID。 图1 查看项目ID 父主题:
11版本集群说明 Kubernetes版本(CCE增强版) 版本说明 v1.11.7-r2 主要特性: GPU支持V100类型 集群支持权限管理 v1.11.7-r0 主要特性: Kubernetes同步社区1.11.7版本 支持创建节点池(nodepool),虚拟机/鲲鹏ARM集群均支持
swr-cosign插件参数配置 参数 参数说明 KMS密钥 选择一个密钥,仅支持 EC_P256、EC_P384、SM2 类型的密钥。 您可以前往密钥管理服务新增密钥。 验签镜像 验签镜像地址通过正则表达式进行匹配,例如填写docker.io/**表示对docker.io镜像仓库的镜像进行验签。如需对所有镜像验签,请填写**。
判断方法 在node节点上使用root用户执行containerd --version查看containerd版本。 新Console上的“节点管理”处也可以查看运行时版本。 漏洞修复方案 容器 entrypoint 使用 capsh工具去除自身的 Inheritable Capabilities。
39M 10G 1% /mnt/paas/kubernetes/kubelet ... 登录CCE控制台,进入集群,在左侧选择“节点管理”,单击节点后的“同步云服务器”。 数据盘扩容 CCE节点使用的第一块数据盘默认分为容器引擎空间和Kubelet空间。如果其中一个磁盘空间
en,从而允许与API Server之间调用。 Kubernetes中没有代表普通账户的对象,这类账户默认由外部服务独立管理,比如在CCE的用户是由IAM管理的。 与Pod、ConfigMap类似,ServiceAccount是Kubernetes中的资源,属于命名空间级别。当创
stack的管理地址(169.254.169.254),以防止容器获取宿主机的元数据。 修复方式参考ECS文档-元数据获取-使用须知。 该修复方案可能影响通过ECS Console修改密码,修复前须进行验证。 获取集群的网络模式和容器网段信息。 在CCE的“集群管理”界面查看集群的网络模式和容器网段。
Ingress控制器插件修复该漏洞,请留意NGINX Ingress控制器插件版本发布记录。在修复之前,请按最小权限原则,只给予受信用户创建及管理Ingress的权限。 社区已发布nginx-ingress v1.11.2版本修复该漏洞,但该版本仅支持 Kubernetes >= 1
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
