检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Kubernetes安全漏洞公告(CVE-2024-10220) Kubernetes社区近日公布了一个安全漏洞(CVE-2024-10220),该漏洞使得具有创建Pod权限的攻击者能够通过部署配置了gitRepo卷的Pod来执行容器外的任意命令。攻击者可以利用目标Git仓库中的
填写修复后的NVIDIA GPU驱动的下载地址即可。 相关链接 英伟达安全公告:https://nvidia.custhelp.com/app/answers/detail/a_id/5142 Ubuntu安全公告:https://ubuntu.com/security/CVE-2021-1056
示,当应用程序需要使用的量超过节点已有容量时会导致无法调度,修改临时卷限制或扩容节点磁盘可解决此问题。 apiVersion: v1 kind: Pod metadata: name: frontend spec: containers: - name: app
Kubernetes安全漏洞公告(CVE-2020-8554) 漏洞详情 CVE-2020-8554是Kubernetes社区发现的关于集群内网络流量劫持的安全问题。具有创建和更新Service和Pod对象权限的潜在攻击者,能够劫持集群内来自其他Pod或者节点的流量。潜在攻击者通过设置Service对象的spec
修复部分安全问题。 v1.29.2-r0 v1.29.3 CCE Ingress支持基于HTTP头部自定义Header进行流量分发。 支持为第三方工作负载应用配置扩缩容优先级策略。 (仅CCE Turbo集群)支持使用annotation为Pod配置安全组。 (仅CCE Turbo集群)为Pod绑定EIP时支持使用已有EIP。
了很多应用的YAML文件,这些YAML文件中通过不同StorageClassName指定不同类型存储,迁移到CCE上时,使用存储就需要修改大量YAML文件或Helm Chart包,这非常繁琐且容易出错。 部分用户希望能够设置默认的StorageClassName,所有应用都使用默
设置完成后,单击“提交”。 修改云服务器的企业项目 待纳管云服务器的企业项目需修改成和节点池相同的企业项目。 更多操作指导请参见迁出企业项目资源。 登录华为云控制台。 单击页面右上方的“企业 > 项目管理”。 在企业项目管理页面,选择企业项目,单击操作列的“ 查看资源 ”。 勾选待迁出资源,单击“迁出”。
max<=1h 修改在服务端生效 feature-gates: ServerSideApply kube-apiserver组件ServerSideApply特性开关,详情请参见服务器端应用(Server-Side Apply)。功能启用时,系统会将资源的字段管理信息存储在metadata.m
/log/service。 解决方案:若日志生成目录为/application/logs/{应用名}/*.log,建议工作负载挂载Volume时,直接挂载/application/logs,日志策略中配置采集路径为/application/logs/*/*.log fluent-bit容器组一直重启
GPU插件检查异常处理 检查项内容 检查到本次升级涉及GPU插件,可能影响新建GPU节点时GPU驱动的安装。 解决方案 由于当前GPU插件的驱动配置由您自行配置,需要您验证两者的兼容性。建议您在测试环境验证安装升级目标版本的GPU插件,并配置当前GPU驱动后,测试创建节点是否正常使用。
使用CoreDNS实现自定义域名解析 应用现状 在使用CCE时,可能会有解析自定义内部域名的需求,例如: 存量代码配置了用固定域名调用内部其他服务,如果要切换到Kubernetes Service方式,修改配置工作量大。 在集群外自建了一个其他服务,需要将集群中的数据通过固定域名发送到这个服务。
修复部分安全问题。 v1.29.2-r0 v1.29.3 CCE Ingress支持基于HTTP头部自定义Header进行流量分发。 支持为第三方工作负载应用配置扩缩容优先级策略。 (仅CCE Turbo集群)支持使用annotation为Pod配置安全组。 (仅CCE Turbo集群)为Pod绑定EIP时支持使用已有EIP。
source_labels: - __meta_kubernetes_pod_label_app - __meta_kubernetes_pod_labelpresent_app regex: (prometheus-lightweight);true
希望调度器可以结合集群内节点CPU、内存的负载情况,将Pod优先调度到负载较低的节点,实现节点负载均衡,避免出现因单个节点负载过高而导致的应用程序或节点故障。 配置案例1 开启负载感知调度策略,使用默认权重值5。插件详情与配置方法请参见负载感知调度。 关闭装箱调度策略(binpa
“高级配置”步骤可以保持默认,直接单击“创建工作负载”,完成工作负载创建。 在创建成功页面单击“返回工作负载列表”,查看工作负载状态,若显示为“运行中”则jenkins应用已可以正常访问。 登录并初始化Jenkins 在CCE控制台,单击左侧栏目树中的“服务”,在“服务”页签下查看jenkins的访问方式。 图6
Job,并指定priorityClassName。 工作负载 apiVersion: apps/v1 kind: Deployment metadata: name: high-test labels: app: high-test spec: replicas: 5 selector:
apiVersion: apiregistration.k8s.io/v1 kind: APIService metadata: labels: app: custom-metrics-apiserver release: cceaddon-prometheus name: v1beta1
节点磁盘挂载 应用现状 在自规划磁盘、创建条带逻辑盘等使用场景下,如何在创建节点时,灵活的挂载和划分磁盘成为一个问题。 节点创建中storage字段通过磁盘的大小、磁盘类型等参数的匹配来选择数据盘,避免了盘符匹配失败导致的节点创建、重置、迁移、纳管失败问题(例如当创建节点时Nod
作负载容器创建失败。 问题根因 docker v1.10 之前支持mediaType 为 application/octet-stream 的layer,而containerd不支持application/octet-stream,导致没有拉取。 解决方法 有如下两种方式可解决该问题。
io/elb.session-affinity-mode HTTP_COOKIE、APP_COOKIE 无 允许 CCE Standard/CCE Turbo 会话保持类型。 取值范围:HTTP_COOKIE、APP_COOKIE。 使用说明: 当pool的protocol为HTTP、HT
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
