检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
(CVE-2024-10220),该漏洞使得具有创建Pod权限的攻击者能够通过部署配置了gitRepo卷的Pod来执行容器外的任意命令。攻击者可以利用目标Git仓库中的钩子(hooks)目录,实现容器逃逸并执行攻击命令。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别
为负载均衡类型的Service配置pass-through能力 操作场景 对于负载均衡类型的Service,负责集群内部流量转发的kube-proxy组件默认会将Service绑定的ELB IP地址配置到节点本地的转发规则中,从集群内部访问ELB的地址时,流量就会直接在集群内部转发,而不会经过ELB转发。
工作负载下的容器组 Pod 占用的磁盘空间设置上限(包含容器镜像占用的空间)。合理的配置可避免容器组无节制使用磁盘空间导致业务异常。建议此值不超过容器引擎空间的 80%。该参数与节点操作系统和容器存储Rootfs相关,部分场景下不支持设置。 更多关于容器存储空间分配的内容,请参考数据盘空间分配说明。
守护进程集(DaemonSet) DaemonSet(守护进程集)在集群的每个节点上运行一个Pod,且保证只有一个Pod,非常适合一些系统层面的应用,例如日志收集、资源监控等,这类应用需要每个节点都运行,且不需要太多实例,一个比较好的例子就是Kubernetes的kube-proxy。 DaemonSet跟
Autopilot的产品介绍,请参见什么是Autopilot集群。 如您有任何问题,可随时通过工单与我们联系。 感谢您对华为云的支持! 公告原文请参考华为云产品转商通知:华为云容器服务CCE Autopilot于2024年9月30日00:00(北京时间)转商。 父主题: 产品变更公告
器访问同一VPC下的其他资源时,节点访问权限的有效性决定了容器访问的通畅性。因此,如果出现访问不通的情况,需要检查与确认被访问服务的安全组配置是否允许容器所在节点的访问。 VPC网络 在VPC网络中,使用VPC路由功能来转发容器的流量。容器网段与节点所在VPC的网段不同,无法与V
只要节点有足够的内存资源,那容器就可以使用超过其申请的内存,但是不允许容器使用超过其限制的资源。如果容器分配了超过限制的内存,这个容器将会被优先结束。如果容器持续使用超过限制的内存,这个容器就会被终结。如果一个结束的容器允许重启,kubelet就会重启它,但是会出现其他类型的运行错误。
通过节点池升级节点的GPU驱动版本 如果您使用的CUDA库无法与当前的NVIDIA驱动版本匹配,您需要升级节点的驱动版本才可以正常使用GPU节点。建议您以节点池为粒度进行节点NVIDIA驱动版本的管理,创建应用时可调度到指定驱动版本的节点池,在升级驱动时,也可以根据节点池分批次控制升级。
可能存在风险: 工作负载中容器进程的WORKDIR为 /proc/self/fd/<num>。 图1 有安全风险的工作负载配置示例 工作负载的容器镜像中默认WORKDIR或启动命令包含 /proc/self/fd/<num>。 可通过以下命令查看容器镜像元数据: docker运行时执行:docker
gitlab/gitlab-ce 查询容器状态。 docker ps | grep gitlab 在Gitlab上创建项目时,生成项目的URL访问地址是通过容器的hostname进行生成的,即容器的id。作为Gitlab服务器,需要一个固定的 URL访问地址,因此需要配置gitlab
Kubeflow在调度环境使用的是Kubernetes的默认调度器。而Kubernetes默认调度器最初主要是为长期运行的服务设计的,对于AI、大数据等批量和弹性调度方面还有很多的不足。主要存在以下问题: 资源争抢问题 TensorFlow的作业包含Ps和Worker两种不同的角色,这两种角色的Pod要
您已创建一个安装CCE容器存储(Everest)的集群,并且集群版本≥1.21。若没有可用集群 ,请参照购买Standard/Turbo集群创建。 集群的节点至少分布在三个不同的可用区,若当前集群的节点分布尚未覆盖三个可用区,请参照创建节点或创建节点池在未部署的可用区中创建新节点。 操作步骤 k
种风险。 容器镜像最小化 为了加强容器镜像的安全性,首先应从镜像中移除所有不必要的二进制文件。如果使用的是Docker Hub上的未知镜像,推荐使用如Dive这样的工具来审查镜像内容。Dive能够展示镜像每一层的详细内容,帮助您识别潜在的安全风险。更多信息,请参见Dive。 建议
#待排水节点的K8s名称,可以使用kubectl get node命令查询 force: true timeout: 0 nodeName:表示待排水的节点,参数值为Kubernetes中的节点名称,而不是控制台上的节点名称。 Kubernetes中的节点名称可以使用kubectl
新节点上。 根据上述结果,在启用优先级抢占调度时,建议您开启节点弹性,以保证集群资源的按需供给,进而保证应用SLA。 基于优先级抢占调度的亲和/反亲和示例 在Pod间亲和场景中,不推荐Pod与比其优先级低的Pod亲和。如果pending状态的Pod与节点上的一个或多个较低优先级P
10,且开放了SSH端口(默认为22),则受该漏洞影响。 查看SSH端口是否开放的命令如下: netstat -tlnp|grep -w 22 若查询结果显示存在SSH端口正在监听,则表示该节点已开放了SSH访问。 漏洞消减方案 对于存量的集群节点,请按以下方法进行修复: 针对Ubuntu
创建使用自定义指标的HPA策略 Kubernetes默认的HPA策略只支持基于CPU和内存的自动伸缩,在复杂的业务场景中,仅使用CPU和内存使用率指标进行弹性伸缩往往无法满足日常运维需求。通过自定义指标配置工作负载HPA策略,可以根据业务自身特点,通过更多指标实现更灵活的弹性配置。 本文介绍如何部署示例
名时,集群服务端证书将同步签入最新的集群访问地址(包括集群绑定的弹性IP、集群配置的所有自定义域名)。 异步同步集群通常耗时约5-10min,同步结果可以在操作记录中查看“同步证书”。 对于已绑定EIP的集群,如果在使用双向认证时出现认证不通过的情况(x509: certificate
作宿主机的权限,否则容器中无法执行docker命令。 其他参数默认。 配置环境变量: JENKINS_URL:Jenkins的访问路径,需要填写6中设置的8080端口地址(此处填写的地址必须同时开放8080和50000端口),例如此案例中使用开放8080和50000端口的集群内访问地址,即“http://10
Charts(一种定义 Kubernetes 资源的打包格式)来封装 Kubernetes 部署的所有元素,包括应用程序代码、依赖项、配置文件和部署指令。使用 Helm,可以轻松地部署和管理复杂的 Kubernetes 应用程序,从而简化了应用程序的开发和部署过程。 本文介绍如何通过Helm部署WordPress应用。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
