检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用kubectl连接集群 若您需要从客户端计算机连接到Kubernetes集群,可使用Kubernetes命令行客户端kubectl,您可登录CCE控制台,单击待连接集群名称,在集群“概览”页面查看访问地址以及kubectl的连接步骤,如图1所示。 CCE支持“内网访问”和“公网访问”两种方式访问集群。
evs-deployment-example.yaml 创建完成后,登录CCE控制台,在左侧导航栏中选择“存储管理 > 云硬盘存储卷”。单击PVC名称,在PVC详情页面可查看云硬盘和PVC的绑定关系。 父主题: 云硬盘存储卷
HostNetwork的Pod和集群中节点的IP失败。 当前CiliumNetworkPolicy及CiliumClusterwideNetworkPolicy API不支持Node Selector、DNS策略和L7网络策略。 资源消耗 每个节点上有常驻进程cilium-age
插件多可用区部署模式支持选择均匀分布 1.5.1 2.2.9 v1.25 - 1.5.1 2.2.7 v1.25 插件挂载节点时区 支持双栈 1.5.1 2.2.3 v1.25 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间 默认污点容忍时长修改为60s 1.5.1 2.2.1 v1.25
cce:addonInstance:update 更新升级插件实例 cce:node:get 查询节点详情 cce:node:list 查询节点列表 cce:nodepool:list 列出集群的所有节点池 aom:metric:set 修改监控配置 aom:metric:get 查询指标 aom:metric:list
---------------+ 预期输出表明,该容器被分配显存总量为5120 MiB,实际使用了4912MiB。 查看所在节点的GPU显存隔离情况(在节点上执行)。 nvidia-smi 预期输出: Wed Apr 12 09:31:10 2023 +-----
tolerationSeconds 否 Int 容忍时间窗 表6 nodeMatchExpresssion节点亲和配置 参数 是否必选 参数类型 描述 key 否 String 污点键 values 否 List<String> 节点亲和的名称 operator 否 String 操作符 请求示例 { "kind":
37s 在节点资源无法满足high_priority_job的情况下,volcano-scheduler的优先级抢占机制将被启用,驱逐med_priority_job后,将high_priority_job部署到节点上。在Cluster Autoscaler新扩容节点后,volc
本次漏洞对所有采用runc的容器引擎均生效,runc是Docker容器的核心组件,因此对绝大部分容器均会产生影响。其中主要影响的是多用户共享节点的场景,可导致某用户通过渗透进而控制节点并攻击整集群。 华为云CCE容器服务: CCE容器服务创建的Kubernetes集群属于单租户专属,不存在跨租户共享,影响范围较小,对于多用户场景需要关注。
集群创建 CCE集群创建失败的原因与解决方法? 集群的管理规模和控制节点的数量有关系吗? CCE集群创建时的根证书如何更新? 使用CCE需要关注哪些配额限制? 父主题: 集群
集群外部访问Ingress异常 Ingress基于七层的HTTP和HTTPS协议进行转发,是集群流量的入口,可以通过域名和路径对访问做到更细粒度的划分。集群在添加Ingress后,可能会出现无法正常访问的情况,本文提供添加Ingress失败或无法正常访问的通用排查思路,帮助您找到
22-23648) 漏洞详情 containerd开源社区中披露了一个漏洞,如果镜像具有恶意的属性,在容器内的进程可能会访问主机上任意文件和目录的只读副本,从而造成宿主机上敏感信息泄露。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2022-23648
当前CCE采用华为优化的Docker容器,未启用Docker的AuthZ插件,因此不会触发该漏洞。 判断方法 您可以在节点上执行命令查看Docker使用的插件。 容器引擎为Docker的节点,执行以下命令: ps –elf | grep docker 显示如下: 其中没有设置--authori
现在容器运行后访问节点文件系统。 工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限,将镜像中WORKDIR设置为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。 漏洞影响 满足上述漏洞利用条件时,容器进程可能逃逸到节点,导致节点信息泄露或执行恶意命令。
pvc-evs-auto-example.yaml 命令执行完成后,会在集群所在分区创建EVS云硬盘,您可以在“存储管理 > 云硬盘存储卷”中查看该云硬盘,也可以在EVS的控制台根据卷名称查看该硬盘。 父主题: 云硬盘存储卷
免每次访问都经过DNS解析和TCP重新建链的开销。 优化容器内的resolve.conf文件 由于resolve.conf文件中的ndots和search两个参数的作用,容器内resolve.conf文件的不同写法决定了域名解析的效率,关于ndots和search两个参数机制的详情请参考工作负载DNS配置说明。
容器镜像、节点DNS缓存NodeLocal DNSCache等方式来减少解析异常。 优化域名解析请求 选择合适的镜像 避免IPVS缺陷导致的DNS概率性解析超时 使用节点DNS缓存NodeLocal DNSCache 及时升级集群中的CoreDNS版本 谨慎调整VPC和虚拟机的DNS配置
控制器访问kube-apiserver的QPS 参数名 取值范围 默认值 是否允许修改 作用范围 kube-api-qps 大于等于0 默认值100;1000节点以上规格值为200 允许 CCE Standard/CCE Turbo 控制器访问kube-apiserver的QPS 配置建议: 无特殊需求建议保持默认配置
cce:addonInstance:update 更新升级插件实例 cce:node:get 查询节点详情 cce:node:list 查询节点列表 cce:nodepool:list 列出集群的所有节点池 aom:metric:set 修改监控配置 aom:metric:get 查询指标 aom:metric:list
集成DCGM-Exporter,为集群提供Nvidia GPU节点DCGM指标观测能力 2.7.19 v1.28 v1.29 v1.30 修复nvidia-container-toolkit CVE-2024-0132容器逃逸漏洞 2.7.13 v1.28 v1.29 v1.30 支持节点池粒度配置XGPU 支持GPU渲染场景
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
