检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CCE节点安全配置建议 及时跟踪处理官网发布的漏洞 节点在新的镜像发布前请参考漏洞公告,完成节点漏洞修复。 节点不暴露到公网 如非必需,节点不建议绑定EIP,以减少攻击面。 在必须使用EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。 在使用cce集
集群监控 当您想观测整个集群的资源使用情况和健康度时,可以在“监控中心 > 集群”页面查看,该页面提供了单个集群的监控情况,包含集群健康度、健康概况、资源消耗Top统计和数据面监控多维度的信息概况。 功能入口 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“监控中心”,单击“集群”页签。
服务基础配置 服务名称 服务名称 参数名 取值范围 默认值 是否允许修改 作用范围 name 0-253字符 无 创建时可修改 CCE Standard/CCE Turbo 命令空间 服务所在的命名空间 参数名 取值范围 默认值 是否允许修改 作用范围 namespace 0-63字符
通过StorageClass动态创建SFS Turbo子目录 背景信息 SFS Turbo容量最小500G,且不是按使用量计费。SFS Turbo挂载时默认将根目录挂载到容器,而通常情况下负载不需要这么大容量,造成浪费。 everest插件支持一种在SFS Turbo下动态创建子目录的方法,能够在SFS
制作并上传镜像 本章指导用户将整体应用制作成Docker镜像。制作完镜像后,每次应用的部署和升级即可通过镜像操作,减少了人工配置,提升效率。 制作镜像时,要求制作镜像的文件在同个目录下。 使用云服务 容器镜像服务SWR:是一种支持容器镜像全生命周期管理的服务, 提供简单易用、安全
最新公告 以下为CCE发布的最新公告,请您关注。 序号 公告标题 公告类型 发布时间 1 关于CentOS停止维护的通知 产品变更公告 2024/10/23 2 NVIDIA Container Toolkit容器逃逸漏洞公告(CVE-2024-0132) 漏洞公告 2024/10/11
PVC视图 提供了集群中的PVC监控视图,包含PV/PVC的状态、使用率情况。 支持以下PVC类型监控: 云硬盘类型的PVC(要求volumeMode参数值为Filesystem)支持使用量监控。 本地持久卷类型的PVC(要求集群中安装的Everest版本大于等于2.4.41)支持使用量监控。
升级前检查项 集群升级前,系统将自动进行全面的升级前检查,当集群不满足升级前检查条件时将无法继续升级。为了能够更好地避免升级风险,本文提供全量的升级前检查问题及解决方案,帮助您对可能存在的升级故障进行预处理。 表1 检查项列表 序号 检查项名称 检查项说明 1 节点限制检查异常处理
云原生日志采集插件 插件简介 云原生日志采集插件(log-agent)是基于开源fluent-bit和opentelemetry构建的云原生日志、K8s事件采集插件。log-agent支持基于CRD的日志采集策略,可以根据您配置的策略规则,对集群中的容器标准输出日志、容器文件日志
通过StorageClass动态创建SFS Turbo子目录 背景信息 SFS Turbo容量最小500G,且不是按使用量计费。SFS Turbo挂载时默认将根目录挂载到容器,而通常情况下负载不需要这么大容量,造成浪费。 everest插件支持一种在SFS Turbo下动态创建子目录的方法,能够在SFS
工作负载异常:Pod一直处于Terminating状态 问题描述 查询某个命名空间下的工作负载时,偶现部分Pod(实例)一直处于Terminating 状态。 例如,查询aos命名空间下的Pod: #kubectl get pod -n aos NAME
监控CCE Turbo集群容器网络扩展指标 CCE容器网络扩展指标插件是一款容器网络流量监控管理插件,可支持CCE Turbo集群非主机网络容器的流量统计,以及节点内容器连通性健康检查。监控信息已适配Prometheus格式,可以通过调用Prometheus接口查看监控数据。 本
权限管理 CCE权限管理是在统一身份认证服务(IAM)与Kubernetes的角色访问控制(RBAC)的能力基础上,打造的细粒度权限管理功能,支持基于IAM的细粒度权限控制和IAM Token认证,支持集群级别、命名空间级别的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。
ServiceAccount Kubernetes中所有的访问,无论外部内部,都会通过API Server处理,访问Kubernetes资源前需要经过认证与授权。 Authentication:用于识别用户身份的认证,Kubernetes分外部服务账号和内部服务账号,采取不同的认
重置节点 功能介绍 该API用于在指定集群下重置节点。 集群管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径。 调用方法 请参见如何调用API。 URI POST /api/v3/projects/{project_id}/
Container配置 容器名称 参数名 取值范围 默认值 是否允许修改 作用范围 name 无 无 允许 - 镜像名称 参数名 取值范围 默认值 是否允许修改 作用范围 image 无 无 允许 - 更新策略 参数名 取值范围 默认值 是否允许修改 作用范围 imagePullPolicy
创建守护进程集(DaemonSet) 操作场景 云容器引擎(CCE)提供多种类型的容器部署和管理能力,支持对容器工作负载的部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等特性。 其中守护进程集(DaemonSet)可以确保全部(或者某些)节点上仅运行一个Pod实例,当有节点加入集群时,也会为其新增一个
集群视角的成本可视化最佳实践 应用现状 当前使用CCE时,默认是以CCE整个云服务的粒度体现计费信息,没有划分不同集群使用的成本。 解决方案 通过给集群使用的资源打上CCE-Cluster-ID标签,在成本中心通过标签过滤汇聚整个集群所使用资源的成本,以集群为单位进行成本分析,降本增效。
在CCE集群中使用镜像服务的安全配置建议 容器镜像是防御外部攻击的第一道防线,对保障应用程序、系统乃至整个供应链的安全至关重要。不安全的镜像容易成为攻击者的突破口,导致容器逃逸到宿主机。一旦容器逃逸发生,攻击者便能访问宿主机的敏感数据,甚至利用宿主机作为跳板,进一步控制整个集群或
NVIDIA Container Toolkit容器逃逸漏洞公告(CVE-2024-0132) NVIDIA Container Toolkit 是一个由 NVIDIA 提供的开源工具包,它允许您在容器化环境中利用 NVIDIA GPU 进行加速计算。工具包包括一个容器运行时库和
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
