检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
下场景认证文件传递过程中均存在安全泄露风险,应在实际使用中注意。 场景一 如果某IAM子用户先配置了集群管理权限和命名空间权限,然后在界面下载kubeconfig认证文件。后面再删除集群管理权限(保留命名空间权限),依然可以使用kubectl来操作Kubernetes集群。因此如
能会驱逐低优先级的Pod,低优先级Pod可能会被重新调度和启动。 配置更新 更新Deployment或StatefulSet的相关配置(如镜像版本、环境变量、数据存储等)时,通常会触发滚动更新,进一步导致现有容器被逐步销毁并重新创建。 节点资源不足 当节点资源(如内存、CPU等)
数必选。 表5 ReinstallNodeSpec 参数 是否必选 参数类型 描述 os 是 String 操作系统。指定自定义镜像场景将以IMS镜像的实际操作系统版本为准。请选择当前集群支持的操作系统版本。例如Huawei Cloud EulerOS 2.0、Ubuntu 22
存储数据。在容器中运行通常会将WordPress和MySQL分别运行两个容器中,如下图所示。 图1 WordPress 本例涉及到两个容器镜像。 WordPress:本例选取wordpress:php7.3 MySQL:本例选取mysql:5.7 在集群内部WordPress访问
大分段大小(MSS)和TCP选择性确认(SACK)功能相关,攻击者可远程发送特殊构造的攻击包造成拒绝服务攻击,导致服务器不可用或崩溃。 华为云CCE团队已经紧急修复Linux内核SACK漏洞,并已发布解决方案。 参考链接: https://www.suse.com/support/kb/doc/
为Ingress Controller,并且对外暴露统一的流量入口。详细操作可参考安装插件。 已上传Nginx镜像至容器镜像服务。为方便观测流量切分效果,Nginx镜像包含新旧两个版本,欢迎页分别为“Old Nginx”和“New Nginx”。 资源创建方式 本文提供以下两种方
-through能力。 操作步骤 本文以Nginx镜像创建无状态工作负载为例,创建一个具有pass-through的Service。 使用kubectl命令行工具连接集群。详情请参见通过kubectl连接集群。 使用Nginx镜像创建无状态工作负载。 创建nginx-deployment
-through能力。 操作步骤 本文以Nginx镜像创建无状态工作负载为例,创建一个具有pass-through的Service。 使用kubectl命令行工具连接集群。详情请参见通过kubectl连接集群。 使用Nginx镜像创建无状态工作负载。 创建nginx-deployment
Deployment的升级可以是声明式的,也就是说只需要修改Deployment的YAML定义即可,比如使用kubectl edit命令将上面Deployment中的镜像修改为nginx:alpine。修改完成后再查询ReplicaSet和Pod,发现创建了一个新的ReplicaSet,Pod也重新创建了。
EmptyDir:Pod启动时为空,存储空间来自本地的kubelet根目录(通常是根磁盘)或内存。EmptyDir是从节点临时存储中分配的,如果来自其他来源(如日志文件或镜像分层数据)的数据占满了临时存储,可能会发生存储容量不足的问题。 ConfigMap:将ConfigMap类型的Kubernetes数据以数据卷的形式挂载到Pod中。
回收策略:请按需设置。 Delete:删除动作会将PersistentVolume对象从Kubernetes中移除,同时也会从外部基础设施中移除所关联的存储资产。 Retain:当PersistentVolumeClaim对象被删除时,PersistentVolume卷仍然存在,对应的数据卷被视为“已释放(released)”。
Container配置 容器名称 参数名 取值范围 默认值 是否允许修改 作用范围 name 无 无 允许 - 镜像名称 参数名 取值范围 默认值 是否允许修改 作用范围 image 无 无 允许 - 更新策略 参数名 取值范围 默认值 是否允许修改 作用范围 imagePullPolicy
备份 通过硬盘快照的方式帮您备份集群控制节点,以保存CCE组件镜像、组件配置、Etcd数据等关键数据。建议您在升级前进行备份。如果在升级过程中出现不可预期的情况,可以基于备份为您快速恢复集群。 备份方式 备份对象 备份方式 备份时间 回滚时间 说明 etcd数据备份 etcd数据
无状态负载(Deployment)、有状态负载(StatefulSet)、普通任务(Job)三种资源类型的容器实例(Pod),弹性创建到华为云云容器实例CCI服务上,以减少集群扩容带来的消耗。详情请参见virtual kubelet。 字段说明 表1 参数描述 参数 是否必选 参数类型
程的复杂性和操作风险。 创建Deployment 以下示例为创建一个名为nginx的Deployment负载,使用nginx:latest镜像创建两个Pod,每个Pod占用100m CPU、200Mi内存。 apiVersion: apps/v1 # 注意这里与Pod的
高效应用运维能力:OpenKruise提供了很多高级的运维能力来帮助您更好地管理应用,例如使用ImagePullJob在任意范围的节点上预先拉取某些镜像,或者原地重启Pod中的容器等。 开源社区地址:https://github.com/openkruise/kruise 约束与限制 如果
进行筛选和聚合,使用户能够根据需要快速定位和解决问题。 有关PromQL的更多使用方法,请参见查询Prometheus。 通过控制台获取华为云Prometheus监控数据 在集群中安装云原生监控插件,采集Prometheus监控数据。 登录CCE控制台,单击集群名称进入集群,单击左侧导航栏的“插件中心”。
云容器引擎CCE服务已通过等保三级认证,您可以在创建节点时进行安全加固,详情请参见如何进行安全加固。 但在您使用集群前,还需要充分理解云容器引擎的安全责任边界,华为云无法限制您在服务托管范围外的行为,您需要为这部分的行为承担安全责任。详情请参见责任共担。 如何进行安全加固 登录CCE控制台。 在左侧导航
该漏洞主要影响以逻辑多租的方式使用CCE集群并且普通用户拥有创建Ingress对象的场景。 判断方法 1.23及以下版本的CCE集群、CCE Turbo集群中: 1. 客户自行安装nginx-ingress的场景,判断nginx-ingress应用的镜像版本是否小于1.2.0 2. 使用CCE提供的ngi
具kubectl,请先连接kubectl。详情请参见通过kubectl连接集群。 操作步骤 通过后台创建daemonSet,选择nginx镜像、开启特权容器、配置生命周期、添加hostNetwork: true字段。 新建daemonSet文件。 vi daemonSet.yaml
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
