检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
对外端口:ELB监听器的端口。 前端协议:“HTTP” 对外端口:80 转发策略配置 域名:实际访问的域名地址,不配置时可通过IP地址访问Ingress。请确保所填写的域名已注册并备案,一旦配置了域名规则后,必须使用域名访问。 路径匹配规则:支持前缀匹配、精确匹配、正则匹配,请按需选择。 路径
访问的域名不能被DNS解析时,会把该域名与搜索域列表中的域依次进行组合,并重新向DNS发起请求,直到域名被正确解析或者尝试完搜索域列表为止。允许用户额外追加3个搜索域,重复的域名将被删除。 ndots(可选):该参数的含义是当域名的“.”个数小于ndots的值,会先把域名与sea
CVE-2024-47177 严重 2024-09-26 漏洞影响 该漏洞主要影响运行 CUPS 打印系统的 Unix 设备,若同时启用了 cups-browsed 服务,可能面临被远程攻击的风险,从而危及用户设备的安全。 判断方法 您可以在节点上执行以下命令查看是否安装CUPS相关服务: systemctl
创建弹性负载均衡ELB后,使用default命名空间创建80端口的http监听,在CCE中只允许在本命名空间下创建同一端口的其它ingress(实际转发策略可根据域名、service来区分);所以出现客户侧在其它命名空间无法创建相同端口的ingress的情况(会提示端口冲突)。 解决方法 可以使用yam
修复Linux内核SACK漏洞公告 漏洞详情 2019年6月18日,Redhat发布安全公告,Linux内核处理器TCP SACK模块存在3个安全漏洞(CVE-2019-11477、CVE-2019-11478、CVE-2019-11479),这些漏洞与最大分段大小(MSS)和T
通过API接口创建Ingress时必须增加该参数。 host 否 String 为服务访问域名配置,默认为"",表示域名全匹配。请确保所填写的域名已注册并备案,一旦配置了域名规则后,必须使用域名访问。 path 是 String 为路由路径,用户自定义设置。所有外部访问请求需要匹配host和path。
网络模型对比。 节点默认安全组 显示集群节点默认安全组。您可以选择自定义的安全组作为集群默认的节点安全组,但是需要注意放通指定端口来保证正常通信。 如需要自定义配置安全组规则,修改后的安全组只作用于新创建的节点和新纳管的节点,存量节点需要手动修改节点安全组规则。 访问集群外地址时保留原有Pod
CoreDNS配置优化包含客户端优化及服务端优化。 在客户端,您可以通过优化域名解析请求来降低解析延迟,通过使用合适的容器镜像、节点DNS缓存NodeLocal DNSCache等方式来减少解析异常。 优化域名解析请求 选择合适的镜像 避免IPVS缺陷导致的DNS概率性解析超时 使用节点DNS缓存NodeLocal
使用KMS进行Secret落盘加密 华为云数据加密服务(DEW)为您提供易用、高安全性的密钥管理服务(Key Management Service),您可以使用KMS密钥对CCE中存储的Kubernetes Secret对象进行信封加密,为应用程序的敏感数据提供安全保护。 当前仅CCE Standard和Turb
到所指定数量。 默认:10 - 允许使用的不安全系统配置 allowed-unsafe-sysctls 允许使用的不安全系统配置。 CCE从1.17.17集群版本开始,kube-apiserver开启了pod安全策略,需要在pod安全策略的allowedUnsafeSysctls中增加相应的配置才能生效(1
CloudShell基于VPCEP实现,在CloudShell中使用kubectl访问集群需要在集群控制节点的安全组(安全组名称:集群名称-cce-control-随机数)中放通5443端口。5443端口默认对所有网段放通,如果您对安全组做过加固,当出现在CloudShell中无法访问集群时,请检查5443端口是否放通了198
如何驱逐节点上的所有Pod? 您可使用kubectl drain命令从节点安全地逐出所有Pod。 默认情况下,kubectl drain命令会保留某些系统级Pod不被驱逐,例如everest-csi-driver。 使用kubectl连接集群。 查看集群中的节点。 kubectl
CRI-O容器运行时引擎任意代码执行漏洞(CVE-2022-0811) 漏洞详情 crowdstrike安全团队披露CRI-O 1.19版本中存在一个安全漏洞,攻击者可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel
eDNS工作负载运行正常。如果是其他IP地址,则表示采用云上DNS或者用户自建的DNS,请您自行确保解析正常。 更多域名解析异常的排查思路,请参见CCE集群中域名解析失败。 父主题: 网络异常问题排查
控制节点安全组加固5443端口的入方向规则。详情请参见如何配置集群的访问策略。 此操作将会短暂重启 kube-apiserver 并更新集群访问证书(kubeconfig),请避免在此期间操作集群。 自定义 SAN:主题备用名称(SAN)允许将多种值(包括IP地址、域名等)与证书
是否允许在pod中配置使用特权容器 配置建议: 如用户出于安全原因,严格禁止使用特权容器,可以选择禁用 禁用特权容器会使已经配置了特权容器的业务无法正常下发,请排查确认集群所有相关业务均不涉及使用特权容器后再禁用 允许匿名请求 是否启用针对 API 服务器的安全端口的匿名请求 参数名 取值范围 默认值
止插件实例因需要调度过多的节点而出现OOM等异常。因此,在调整集群规格后,请您同时考虑调整插件资源配额。 CoreDNS域名解析 CoreDNS所能提供的域名解析QPS与CPU消耗成正相关,集群中的节点/容器数量增加时,CoreDNS实例承受的压力也会同步增加。请根据集群的规模,
Interface,简称Sub-ENI)的能力,将Pod直接绑定弹性网卡或辅助弹性网卡,使每个Pod在VPC内均拥有独立的IP地址,且支持ELB直通容器、Pod绑定安全组、Pod绑定弹性公网IP等特性。由于不需要使用容器隧道封装和NAT地址转换,云原生网络2.0模型与容器隧道网络模型和VPC网络模型相比具有比较高的网络性能。
创建VPC和子网 背景信息 在创建集群之前,您需要创建虚拟私有云(VPC),为CCE服务提供一个安全、隔离的网络环境。 如果用户已有VPC,可重复使用,不需多次创建。 创建VPC 登录管理控制台,选择“网络 > 虚拟私有云 VPC”。 在虚拟私有云控制台,单击右上角的“创建虚拟私有云”,按照提示完成创建。
如何让多个Pod均匀部署到各个节点上? 如何驱逐节点上的所有Pod? 网络管理 集群安全组规则配置 工作负载网络异常时,如何定位排查? 为什么访问部署的应用时浏览器返回404错误码? 节点无法连接互联网(公网),如何排查定位? 解析外部域名很慢或超时,如何优化配置? 存储管理 无法使用kubectl命令删除PV或PVC
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
