检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
控制选项。 图1 创建集群时开启过载控制 方式二:已有集群中开启 登录CCE控制台,进入一个已有的集群(集群版本为v1.23及以上)。 在“总览”页面,查看控制节点信息,如集群未开启过载控制,此处将会出现相应提示。如需开启过载控制,您可单击“立即开启”。 图2 已有集群开启过载控制
谨慎调整VPC和虚拟机的DNS配置 CoreDNS启动时会默认从部署的实例上获取resolve.conf中的DNS配置,作为上游的解析服务器地址,并且在CoreDNS重启之前不会再重新加载节点上的resolve.conf配置。建议: 保持集群中各个节点的resolve.conf配
设置插件支持的“参数配置”。 控制器名称:自定义控制器名称,该名称为Ingress控制器的唯一标识,同一个集群中不同的控制器名称必须唯一,且不能设置为cce(cce是ELB Ingress Controller的唯一标识)。创建Ingress时,可通过指定控制器名称,声明该Ingress由此控制器进行管理。
systemd属性注入漏洞(CVE-024-3154),攻击者可将恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload)注入Pod注解中,进而在宿主机中执行任意操作。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 代码执行
如非必须,不建议容器与宿主机共享进程命名空间 如非必须,不建议容器与宿主机共享IPC命名空间 如非必须,不建议容器与宿主机共享UTS命名空间 如非必须,不建议将docker的sock文件挂载到任何容器中 容器的权限访问控制 使用容器应用时,遵循权限最小化原则,合理设置Deployme
Standard/CCE Turbo 控制器访问kube-apiserver的QPS 配置建议: 无特殊需求建议保持默认配置 配置过大可能会导致kube-apiserver过载,配置过小可能会触发客户端限流,对控制器性能产生影响 控制器访问kube-apiserver的突发流量上限 控制器访问kube-apiserver的突发流量上限
图2 选择控制面组件 查看集群控制面组件日志 通过CCE控制台查看目标集群控制面组件日志 登录CCE控制台,进入一个已有的集群,在左侧导航栏中选择“日志中心”。 选择“控制面组件日志”页签,在控制面日志中选中需要查看的日志主题,支持的控制面组件日志请参见集群控制面组件说明。关
的数据依然会保留。 通过控制台使用主机路径 主机路径(HostPath)挂载表示将主机上的路径挂载到指定的容器路径。通常用于:“容器工作负载程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器工作负载”。 登录CCE控制台。 在创建工作负载时,
变更集群类型,例如“CCE Standard集群”更换为“CCE Turbo集群”。 变更集群的控制节点数量,例如非高可用集群(控制节点数量为1)变更为高可用集群(控制节点数量为3)。 变更控制节点可用区。 变更集群的网络配置,如所在的虚拟私有云VPC、子网、容器网段、服务网段、IPv
尽管Namespace和Cgroup从资源层面上实现了容器与宿主机的环境独立性,使得宿主机的资源对容器不可见,但这种隔离并没有实现真正意义上的安全隔离。由于容器共享宿主机的内核,一旦容器内部发生恶意行为或利用内核漏洞,就可能突破资源隔离,导致容器逃逸,进而威胁到宿主机及其他容器的安全。 为了提高运行时安
注意事项 仅v1.19及以上版本的集群支持修改容器引擎、操作系统、系统盘/数据盘大小、数据盘空间分配、安装前/后执行脚本配置。 修改节点池容器引擎、操作系统、安装前/后执行脚本时,修改后的配置仅对新增节点生效,存量节点如需同步配置,需要手动重置存量节点。 修改节点池系统盘/数据盘大小、
改造流程 整体应用容器化改造时,需要执行完整的改造流程。 容器化改造流程包括:分析应用、准备应用运行环境、编写开机脚本、编写Dockerfile、制作并上传镜像、创建容器工作负载。 改造流程每一部分的详情可参考改造流程。 图1 容器化改造流程 父主题: 实施步骤
CCE控制台不提供针对节点的操作系统升级,也不建议您通过yum方式进行升级。 如果您在节点上通过yum update升级了操作系统,会导致容器网络的组件不可用。 您可以通过如下方式手动恢复: 当前该恢复方式仅针对EulerOS 2.2有效。 root下执行如下脚本: #!/bin/bash
如果需要转包周期,需要设置BSS Administrator权限。 节点管理 弹性云服务器 ECS 当IAM用户权限为CCE Administrator时,如果创建和删除节点,需要配置ECS FullAccess或ECS Administrator权限,以及VPC Administrator权限。
Ingress控制器指标 在集群中部署使用NGINX Ingress控制器时,打开“开启指标采集”开关后将自动上报NGINX Ingress控制器指标。 前提条件 集群中已安装3.9.5及以上版本云原生监控插件插件。 集群中已安装2.5.4及以上版本的NGINX Ingress控制器插件,且已打开“开启指标采集”开关。
NGINX Ingress控制器 插件介绍 NGINX Ingress控制器能根据Service中Pod的变化动态地调整配置,结合Nginx的高稳定性、高性能、高并发处理能力等特点,对容器化应用具有灵活的应用层管理能力。 字段说明 表1 参数描述 参数 是否必选 参数类型 描述 basic
当runc版本<=1.0.0-rc94时存在符号链接挂载与容器逃逸漏洞,攻击者可通过创建恶意Pod,挂载宿主机目录至容器中,利用runc的符号链接以及条件竞争漏洞,最终可能会导致容器逃逸,使攻击者能够访问宿主机的文件系统。 您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。
创建一台位于vpc-X(192.168.0.0/16网段)的ECS服务器,推荐规格为4vCPUs 16GiB,系统为Huawei Cloud EulerOS 2.0,并绑定一个弹性公网IP用于拉取公网镜像。 安装指定版本的Docker 登录ECS服务器。 在Huawei Cloud EulerOS
为什么登录虚拟机VNC界面会间歇性出现Dead loop on virtual device gw_11cbf51a, fix it urgently? 问题现象 VPC网络模式的集群,登录虚拟机出现 Dead loop on virtual device gw_11cbf51a
问题现象 当您访问控制台时,出现报错“权限不足”,错误码:CCE.01403001。 问题原因 您使用的账号未被授予当前操作所需的IAM权限。 解决方案 使用华为云账号或者具有IAM权限的账号登录IAM管理控制台。 根据错误提示页面的信息为您的账号添加CCE控制台依赖的权限。详细
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
