检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Web终端(web-terminal)是一款非常轻巧的终端服务器,支持在Web界面上使用Kubectl命令。它支持通过标准的Web浏览器和HTTP协议提供远程CLI,提供灵活的接口便于集成到独立系统中,可直接作为一个服务连接,通过cmdb获取信息并登录服务器。 web-terminal可以在Node
负载均衡器配置:后端服务器(组)配置 会话保持模式 监听器的会话保持类型 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.session-affinity-mode HTTP_COOKIE、APP_COOKIE
VPC网络模型需要放通容器网段 云原生网络2.0需要放通容器所在子网网段 查看要访问的对端服务器是否设置了白名单,如DCS的Redis实例,需要添加白名单才允许访问。添加容器和节点网段到白名单后可解决问题。 查看要访问的对端服务器上是否安装了容器引擎,是否存在与CCE中容器网段冲突的情况。如果有网络冲突,会导致无法访问。
Kubernetes安全漏洞公告(CVE-2022-3172) 漏洞详情 Kubernetes社区在 kube-apiserver 中发现了一个安全问题,该问题允许聚合 API Server将客户端流量重定向到任意 URL,这可能导致客户端执行意外操作以及将客户端的 API 服务器凭据转发给第三方。
节点时钟同步服务器检查异常处理 检查项内容 检查节点时钟同步服务器ntpd或chronyd是否运行正常。 解决方案 问题场景一:ntpd运行异常 请登录该节点,执行systemctl status ntpd命令查询ntpd服务运行状态。若回显状态异常,请执行systemctl restart
安全组”,在搜索框内输入集群名称,此时预期过滤出两个安全组: 安全组名称为“集群名称-node-xxx”,此安全组关联CCE用户节点。 安全组名称为“集群名称-control-xxx”,此安全组关联CCE控制节点。 图1 查看集群安全组 单击用户节点安全组,确保含有如下规则允许Master节点使用ICMP协议访问节点。
Standard集群: 弹性云服务器-虚拟机:基于弹性云服务器部署容器服务。 弹性云服务器-物理机:基于擎天架构的服务器部署容器服务。 裸金属服务器:基于裸金属服务器部署容器服务,需要挂载本地盘或支持挂载云硬盘。 CCE Turbo集群: 弹性云服务器-虚拟机:基于弹性云服务器部署容器服务,仅支持可添加多张弹性网卡的机型。
分别承载云服务器实例的内网、外网、管理网流量。针对子网可独立设置访问安全控制策略与路由策略,弹性网卡也可配置独立安全组策略,从而实现网络隔离与业务流量分离。 使用限制 云服务器实例与扩展弹性网卡必须在同一VPC,可以分属于不同安全组。 主弹性网卡不能解绑服务器。 云服务器可附加的
宿主机的资源对容器不可见,但这种隔离并没有实现真正意义上的安全隔离。由于容器共享宿主机的内核,一旦容器内部发生恶意行为或利用内核漏洞,就可能突破资源隔离,导致容器逃逸,进而威胁到宿主机及其他容器的安全。 为了提高运行时安全性,可以通过多种机制对容器内部的恶意活动进行检测和预防,这
排查项四:NAT网关+端口 配置在NAT后端的服务器,通常不配置EIP,不然可能会出现网络丢包等异常。 排查项五:检查容器所在节点安全组是否放通 用户可单击服务列表中的“网络 > 虚拟私有云 VPC”,在网络控制台单击“访问控制 > 安全组”,找到CCE集群对应的安全组规则进行修改和加固。
加权轮询算法:根据后端服务器的权重,按顺序依次将请求分发给不同的服务器。它用相应的权重表示服务器的处理性能,按照权重的高低以及轮询方式将请求分配给各服务器,相同权重的服务器处理相同数目的连接数。常用于短连接服务,例如HTTP等服务。 加权最少连接:最少连接是通过当前活跃的连接数来估计服务器负载情
境搭建。 弹性云服务器ECS:一种可随时自助获取、可弹性伸缩的云服务器,帮助用户打造可靠、安全、灵活、高效的应用环境,确保服务持久稳定运行,提升运维效率。 虚拟私有云VPC:是用户在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务,
布出来,ELB里的后端会被自动删除。 问题解答: 创建ELB时候,如果ELB健康检查失败,后端服务器组会删除,而且后续服务正常以后也不会添加。如果是更新已有的SVC时则不会删除。 添加删除节点的时候,由于集群状态的改变,可能会引起集群内的Node访问方式的改变,为保证服务正常运行
该场景引起的原因是集群关联的安全组中存在未删除的资源,该安全组无法删除,最终导致了集群删除失败。 操作步骤 复制报错信息中的资源ID,进入到VPC服务的安全组界面,根据ID过滤安全组。 单击进入安全组详情界面,选择关联实例页签。 查询该安全组关联的其他资源,例如服务器、弹性网卡实例、辅助
cip-key-secret-match: spec.template.spec.containers[0].image ... 为镜像添加签名。 登录SWR企业仓库,进入一个已有的仓库实例。 在左侧导航栏中单击“安全可信>镜像签名”,创建一个签名规则。 规则名称:为签名规则命名。 组织:选择一个容器镜像组织。 规则范围:
数据保护技术 CCE通过多种数据保护手段和特性,保障数据的安全可靠。 表1 CCE的数据保护手段和特性 数据保护手段 简要说明 详细介绍 服务发现支持证书配置 CCE集群中的应用服务支持使用HTTPS传输协议,保证数据传输的安全性,您可以根据需求创建四层或七层的访问方式来对接负载均衡器。
若无单独用于运维的OBS的桶,建议单独创建一个专用于运维的桶,方便后续整体运维组使用。 建议在桶中新建多级目录tools/cce,表示工具集合中的cce部分下,方便维护,后续还可以放其他的工具脚本。 注意事项 脚本实现的自定义操作如果失败,会影响正常业务运行,建议在脚本最后添加检查程序
/2连接,并且可能需要添加额外的工具来处理这些情况。 这些攻击媒介允许远程攻击者消耗过多的系统资源。有些攻击足够高效,单个终端系统可能会对多台服务器造成严重破坏(服务器停机/核心进程崩溃/卡死)。其他攻击效率较低的情况则产生了一些更棘手的问题,只会使服务器的运行变得缓慢,可能会是
解决方法:根据业务需求对负载均衡器的后端服务器进行合理规划。 如何查询配额详情 如何查询配额使用详情 排查项二:后端服务器健康检查是否有异常 在Service更新ELB后端服务器的过程中,为保证流量不中断,会先增加后端服务器,在确保新加的后端服务器可用后,再删除原先的后端服务器。 但在后端服务器配额已满的情
纳管节点至节点池 如果您需要在购买ECS云服务器后将其添加到集群中的某个节点池中,或者将节点池的某个节点从集群里移除后将其重新添加到节点池,您可以通过纳管节点实现以上诉求。 纳管时,会将所选弹性云服务器的操作系统重置为CCE提供的标准镜像,以确保节点的稳定性。 所选弹性云服务器挂载的系统盘、数据
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
