检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
ngressTLS或kubernetes.io/tls类型的密钥。 以创建IngressTLS密钥证书为例。如图1: 图1 创建密钥 密钥数据中上传的证书文件和私钥文件必须是配套的,不然会出现无效的情况。 解决方法 一般情况下,您需要从证书提供商处获取有效的合法证书。如果您需要在
"ims_url": "ims.***.com", "obs_url": "obs.***.com", "platform": "linux-amd64", "sfs30_url": "obs.***.com", "sfs_turbo_url":
务的可用性。 同步已有节点时,节点会被重置,系统盘和数据盘将会被清空,请在同步前备份重要数据。 仅部分节点池参数可通过重置节点同步,详细约束如下: 仅v1.19及以上版本的集群支持修改容器引擎、操作系统、系统盘/数据盘大小、数据盘空间分配、安装前/后执行脚本配置。 修改节点池容器
业务部署或运行过程中,用户可能会触发不同层面的高危操作,导致不同程度上的业务故障。为了能够更好地帮助用户预估及避免操作风险,本文将从集群/节点、网络与负载均衡、日志、云硬盘多个维度出发,为用户展示哪些高危操作会导致怎样的后果,以及为用户提供相应的误操作解决方案。 集群/节点 表1 集群及节点高危操作
负载均衡会暂时中断当前连接,直到下一次请求时重新建立新的连接。 等待客户端请求超时时间:如果在规定的时间内客户端没有发送完请求头,或body体数据发送间隔超过一定时间,负载均衡会自动关闭连接。 等待后端服务器响应超时时间:向后端服务器发送请求后,如果在一定时间内没有收到响应,负载均衡将返回504错误码。
ns/agent。 给Jenkins容器添加权限,让Jenkins容器中可以执行docker命令。 确认3中已开启“特权容器”开关。 在“数据存储”页签下,选择添加“主机路径 (HostPath)”,将主机路径挂载到容器对应路径。 表1 挂载路径 存储类型 主机路径(HostPath)
在目标集群左侧导航栏选择“插件中心”。 选择云原生监控插件,单击“安装”。 请选择“监控数据上报至AOM服务”,其余两项数据存储配置可按需选择。 图3 安装云原生监控插件 插件安装完成3-5分钟后,监控数据将上报至AOM实例,随即可以使用监控中心相关功能。 如需关闭监控中心,请前往CCE
是 api版本号。 kind 是 创建的对象类别。 metadata 是 资源对象的元数据定义。 name 是 Pod的名称。 spec 是 spec是集合类的元素类型,pod的主体部分都在spec中给出。具体请参见表2。 表2 spec数据结构说明 参数名 是否必选 参数解释 hostAliases
中挂载路径下的数据会存储在存储卷的tmp文件夹中。不填写时默认为根路径。 权限 只读:只能读容器路径中的数据卷。 读写:可修改容器路径中的数据卷,容器迁移时新写入的数据不会随之迁移,会造成数据丢失。 本例中将该盘挂载到容器中/data路径下,在该路径下生成的容器数据会存储到磁盘中。
的总字节数。 网络发送丢包率:负载的所有Pod的容器在不同的时间段的发送丢失的数据包总量占发送的数据包总量的比例。 网络接收丢包率:负载的所有Pod的容器在不同的时间段的接收丢失的数据包总量占接收的数据包总量的比例。 Pod相关指标 Pod CPU使用率:负载的每个Pod在不同的时间段的CPU使用量除以它们的CPU
cgroupfs 表明容器引擎使用的cgroup系统为cgroupfs,并未使用systemd cgroup,不受此漏洞影响。 漏洞修复方案 华为云CCE集群未开启runc的systemd cgroup特性,不受runc漏洞CVE-2024-3154影响,请放心使用。 相关链接 runc
od名称、状态、Pod IP和所在节点进行筛选,快速定位所需的Pod。 您也可以单击“导出”按钮来导出全部Pod数据,或者选择部分Pod进行导出,此时仅导出所选中的数据。导出的文件为“.xlsx”格式,文件命名中包含时间戳。 概览 单击Pod名称,您可以方便地查看资源概况,包括P
低峰期操作。 操作过程中可能存在非预期风险,请提前做好相关的数据备份。 操作过程中,后台会把当前节点设置为不可调度状态。 移除节点重装操作系统后将清理原有的LVM分区,通过LVM管理的数据将会清空,请提前做好相关的数据备份。 操作步骤 登录CCE控制台,单击集群名称进入集群。 在
PS。 结果返回“Active” 属性是“active (running)”,表示启用了服务,受漏洞影响,需要尽快规避。 漏洞消减方案 华为云CCE集群节点OS镜像默认未安装CUPS服务,不受漏洞影响。 相关链接 https://www.evilsocket.net/2024/0
些分布式的场景,要求每个Pod都有自己单独的状态时,比如分布式数据库,每个Pod要求有单独的存储,这时Deployment无法满足业务需求。 分布式有状态应用的特点主要是应用中每个部分的角色不同(即分工不同),比如数据库有主备、Pod之间有依赖,在Kubernetes中部署有状态应用对Pod有如下要求:
Dump的方法。 约束与限制 容器Core Dump持久化存储至OBS(并行文件系统或对象桶)时,由于CCE挂载OBS时默认挂载参数中带有umask=0的设置,这导致Core Dump文件虽然生成但由于umask原因Core Dump信息无法写入到Core文件中。您可通过设置OBS的挂载参数umask=0077,将Core
容器隧道网络在节点网络基础上通过隧道封装网络数据包。 从Pod访问不同VPC下的其他服务时,需确保节点子网与目标子网之间的连通性。 创建集群VPC和目标VPC的对等连接后,只需要建立节点子网和目标子网之间的路由。 VPC网络 在VPC网络中,使用VPC路由功能来转发容器的流量。集群VPC的网段与容器网段不能重叠,二者是独立存在的。
显示如下: 其中没有设置--authorization-plugin参数,表明Docker未启用AuthZ插件,不会触发该漏洞。 漏洞修复方案 华为云CCE集群未启用docker的AuthZ插件,不会触发CVE-2024-41110漏洞。请勿自行启用--authorization-plu
云服务器事件概述 在云容器引擎CCE中,您可以采用弹性云服务器ECS实例作为Node节点来构建高可用的Kubernetes集群。在日常运维中,华为云会对ECS实例所在底层宿主机的软硬件故障进行预测和主动规避。 当宿主机上的故障风险无法规避时,为避免因ECS实例的资源可用性或性能受损对您
流量以消除窃听、连接劫持和其他攻击。此外,OpenSSH 还提供大量安全隧道功能、多种身份验证方法和复杂的配置选项,是远程服务器管理和安全数据通信的必备工具。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2024-6387 严重 2024-07-01
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
