检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
管理节点池 更新节点池 更新弹性伸缩配置 修改节点池配置 纳管节点至节点池 复制节点池 同步节点池 升级操作系统 迁移节点 删除节点池 父主题: 节点池
ELB Ingress管理 通过控制台创建ELB Ingress 通过Kubectl命令行创建ELB Ingress 用于配置ELB Ingress的注解(Annotations) ELB Ingress高级配置示例 ELB Ingress转发策略优先级说明 父主题: 路由(Ingress)
Nginx Ingress管理 通过控制台创建Nginx Ingress 通过Kubectl命令行创建Nginx Ingress 用于配置Nginx Ingress的注解(Annotations) Nginx Ingress高级配置示例 父主题: 路由(Ingress)
stack的管理地址(169.254.169.254),以防止容器获取宿主机的元数据。 修复方式参考ECS文档-元数据获取-使用须知。 该修复方案可能影响通过ECS Console修改密码,修复前须进行验证。 获取集群的网络模式和容器网段信息。 在CCE的“集群管理”界面查看集群的网络模式和容器网段。
NVIDIA公布了关于NVIDIA GPU驱动的一个漏洞CVE-2021-1056,该漏洞是存在于NVIDIA GPU驱动程序中与设备隔离相关的安全漏洞。当容器以非特权模式启动,攻击者利用这个漏洞,通过在容器中创建特殊的字符设备文件后,能够获取宿主机上所有GPU设备的访问权限。 关于漏洞
containerd容器进程权限提升漏洞公告(CVE-2022-24769) 漏洞详情 containerd开源社区中披露了一个安全漏洞,在containerd创建容器的场景,非root容器进程的初始inheritalbe capability不为空,可能会造成在execve执行
kube-apiserver输入验证错误漏洞公告(CVE-2020-8559) 漏洞详情 Kubernetes官方披露了kube-apiserver组件的安全漏洞,攻击者可以通过截取某些发送至节点kubelet的升级请求,通过请求中原有的访问凭据转发请求至其它目标节点,攻击者可利用该漏洞提升权限。
节点管理最佳实践 本文将为您介绍与节点管理相关的最佳实践,包括节点创建、管理和维护等方面,从而更好地满足业务需求。 场景分类 相关最佳实践 创建节点相关实践 制作CCE节点自定义镜像 创建节点时执行安装前/后脚本 创建节点时使用OBS桶实现自定义脚本注入 选择合适的节点数据盘大小
优点:本地化构建,操作简单。 缺点:任务管理和执行都在同一台虚拟机上,安全风险较高。 单Master 容器 - 优点:利用K8s容器调度机制,拥有一定的自愈能力。 缺点:任务管理和执行没有分离,安全风险问题仍未解决。 Master加Agent 虚拟机 虚拟机 优点:任务管理和执行分离,降低了一定的安全风险。
CCE密钥管理(对接 DEW) 插件介绍 CCE密钥管理(dew-provider)插件用于对接数据加密服务(Data Encryption Workshop, DEW)。该插件允许用户将存储在集群外部(即专门存储敏感信息的数据加密服务)的凭据挂载至业务Pod内,从而将敏感信息与
CRI-O容器运行时引擎任意代码执行漏洞(CVE-2022-0811) 漏洞详情 crowdstrike安全团队披露CRI-O 1.19版本中存在一个安全漏洞,攻击者可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel
修复Docker操作系统命令注入漏洞公告(CVE-2019-5736) 漏洞详情 Docker、containerd或者其他基于runc的容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。
管理监控采集任务 您可以简单、方便地可视化管理采集任务,所有的配置均可在升级云原生监控插件时得到保留。 前提条件 集群中已安装云原生监控插件3.11.0及以上版本。 管理监控采集任务 开启默认关闭的采集任务、添加基础免费指标之外的指标后,若您已对接AOM,AOM服务会按量收取费用。具体请参考价格详情。
Volcano是一个基于Kubernetes的批处理平台,提供了高性能任务调度引擎、高性能异构芯片管理、高性能任务运行管理等通用计算能力,通过接入AI、大数据、基因、渲染等诸多行业计算框架服务终端用户,并针对计算型应用提供了作业调度、作业管理、队列管理等多项功能。 一般情况下,Kuberne
企业级Kubernetes容器服务 软硬协同,计算、网络、存储全方位升级 Serverless容器,K8s生态,K8s全兼容 管理 管理集群、节点和业务 管理集群、节点和业务 集群节点全托管,聚焦业务 集群 区分规格档位,档位自主调整 区分规格档位,档位自主调整 灵活规格档位,档位自动调整
API URL说明 集群管理、节点管理、节点池管理、配额管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径。 Kubernetes API、存储管理、插件管理的URL格式为:https://{clusterid}.Endpoi
增强型CPU管理策略 在Kubernetes默认提供的CPU管理策略中有none和static两种: none: 默认不开启CPU管理策略,表示现有的调度行为。 static:开启静态绑核的CPU管理策略,允许为节点上具有某些资源特征的 Pod(Guaranteed pod)赋予增强的
管理自定义资源 自定义资源定义(Custom Resource Definition,CRD) 是对Kubernetes API的扩展,当默认的Kubernetes资源无法满足业务需求时,您可以通过CRD对象来定义新的资源类别。 根据CRD的定义,您可以在集群中创建自定义资源(Custom
管理节点弹性策略 操作场景 节点弹性策略创建完成后,可对创建的策略进行删除、编辑、停用、启用、克隆等操作。 查看节点弹性策略 您可以查看节点弹性策略的关联节点池、执行规则和伸缩历史,参照界面中的提示有针对性的解决异常问题。 在CCE控制台,单击集群名称进入集群。 单击左侧导航栏的
forbiddenSysctls allowedUnsafeSysctls 控制Pod中容器使用的Sysctl配置。 Pod安全策略开放非安全系统配置示例 节点池管理中可以为相应的节点池配置allowed-unsafe-sysctls,CCE从1.17.17集群版本开始,需要在Pod安全策略的allow
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
