检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Init容器是一种特殊容器,可以在Pod中的其他应用容器启动之前运行。每个Pod中可以包含多个容器,同时Pod中也可以有一个或多个先于应用容器启动的Init容器,当所有的Init 容器运行完成时,Pod中的应用容器才会启动并运行。详细说明请参见Init 容器。 生命周期(可选):在容器的生命周期的特定阶段配置
Containerd创建并启动的容器会被kubelet立即删除,不支持暂停、恢复、重启、重命名、等待容器,Containerd不具备docker构建、导入、导出、比较、推送、查找、打标签镜像的能力,Containerd不支持复制文件,可通过修改containerd的配置文件实现登录镜像仓库。
法运行。 容忍策略 容忍策略与节点的污点能力配合使用,允许(不强制)插件的 Deployment 实例调度到带有与之匹配的污点的节点上,也可用于控制插件的 Deployment 实例所在的节点被标记污点后插件的 Deployment 实例的驱逐策略。 插件会对实例添加针对node
资源与成本规划 本文提供的成本预估费用仅供参考,资源的实际费用以华为云管理控制台显示为准。 完成本实践所需的资源如下: 表1 资源和成本规划 资源 资源说明 数量 费用(元) 弹性云服务器 ECS ECS虚拟机规格:4核8G或以上规格,Ubuntu 22.04操作系统。 绑定弹性IP规格:按带宽计费,5Mbit/s。
获取集群升级任务详情,任务ID由调用集群升级API后从响应体中uid字段获取。 集群升级涉及多维度的组件升级操作,强烈建议统一通过CCE控制台执行交互式升级,降低集群升级过程的业务意外受损风险; 当前集群升级相关接口受限开放。 调用方法 请参见如何调用API。 URI GET /api/v3/projects/{
资源和成本规划 本文提供的成本预估费用仅供参考,资源的实际费用以华为云管理控制台显示为准。 完成本实践所需的资源如下: 表1 资源和成本规划 资源 资源说明 数量 费用(元) 云容器引擎CCE 建议选择按需计费。 集群类型:CCE集群 集群版本:v1.25 集群规模:50节点 高可用:是
h设置为0的API请求绕过权限检查,导致Docker守护进程将没有正文的请求转发到AuthZ插件,进而导致未授权操作和权限提升。未使用AuthZ插件或运行旧版Docker Engine的用户不易受到影响。 当前CCE采用华为优化的Docker容器,未启用Docker的AuthZ插件,因此不会触发该漏洞。
轮转时间间隔表示向云凭据管理服务发起请求并获取最新的凭据的周期,合理的时间间隔范围为[1m, 1440m],默认值为2m。 单击“安装”。 待插件安装完成后,选择对应的集群,然后单击左侧导航栏的“插件中心”,可在“已安装插件”页签中查看相应的插件。 组件说明 表1 dew-provider组件
在CCE集群中使用密钥Secret的安全配置建议 当前CCE已为secret资源配置了静态加密,用户创建的secret在CCE的集群的etcd里会被加密存储。当前secret主要有环境变量和文件挂载两种使用方式。不论使用哪种方式,CCE传递给用户的仍然是用户配置时的数据。因此建议: 用户不应在日志中对相关敏感信息进行记录;
CVE-2020-15257是containerd官方发布的一处Docker容器逃逸漏洞。containerd是一个支持Docker和常见Kubernetes配置的容器运行时管理组件,它处理与容器化有关的抽象,并提供API以管理容器的生命周期。在特定的条件下,可以通过访问containerd-shim
漏洞详情 Docker、containerd或者其他基于runc的容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。 华为云容器引擎已修复runc漏洞CVE-2019-5736。
护。 Gatekeeper 一个基于开放策略(OPA)的可定制的云原生策略控制器,有助于策略的执行和治理能力的加强,在集群中提供了更多符合Kubernetes应用场景的安全策略规则。 Kubernetes Web终端(停止维护) Kubernetes Web终端(web-term
容器网络配置 配置管理-容器网络配置 节点池Pod安全组配置 节点池中的节点上运行的 Pod 的安全组配置,可填写安全组 ID。与工作负载详情页面的安全组策略一起实现对集群下负载 Pod 网络访问控制。 参数名 取值范围 默认值 是否允许修改 作用范围 security_groups_for_nodepool
虚拟网关 虚拟接口关联的虚拟网关。 VLAN 虚拟接口的VLAN。 标准专线的虚拟接口的VLAN由用户配置 。 托管专线的虚拟接口的VLAN会使用运营商或合作伙伴为托管专线分配的VLAN,用户无需配置。 带宽 虚拟接口带宽,单位为Mbit/s。虚拟接口带宽不可以超过物理连接带宽。
华为云支持哪几种开具发票模式? 华为云支持“按账期索取发票”和“按订单索取发票”模式。 您可在费用中心的发票管理开具发票。 父主题: 计费类
ice的自定义指标采集策略,详情请参见管理监控采集任务。 关于ServiceMonitor的创建方式请参见配置Service Monitor监控自定义指标。 PodMonitor:定义针对Pod的自定义指标采集策略,详情请参见管理监控采集任务。 关于PodMonitor的创建方式请参见配置Pod
优先选择优先级最高的节点池。 规格优先级选择: 如果存在多个节点池优先级最高的情况,则根据以下原则挑选优先级最高的规格: 首先,选择节点池中优先级最高的规格。 其次,如果存在规格优先级相同的情况,根据最小浪费原则,选择既能满足Pod正常调度、浪费资源又最少的规格。 最后,如果存
对于单集群内多个用户共享使用的场景,如果将Pod和Service的创建和更新权限授予不信任的用户易受此漏洞的影响。 涉及所有Kubernetes版本。 漏洞修复方案 建议您检查所有使用externalIP和loadBalancerIP的Service,确认是否有可疑的Service。 该
Helm Helm是Kubernetes的包管理器,主要用来管理Charts。Helm Chart是用来封装Kubernetes原生应用程序的一系列YAML文件。可以在您部署应用的时候自定义应用程序的一些Metadata,以便于应用程序的分发。对于应用发布者而言,可以通过Helm
由于kube-apiserver中在升级请求的代理后端中允许将请求传播回源客户端,攻击者可以通过截取某些发送至节点kubelet的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成被攻击节点的权限提升漏洞。该漏洞为中危漏洞,CVSS评分为6.4。 如果有多个集群共享使用了相同的CA和认证凭证,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
