检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
性能要求高:由于云原生网络2.0直接使用VPC网络构建容器网络,容器通信不需要进行隧道封装和NAT转换,所以适用于对带宽、时延要求极高的业务场景,比如:线上直播、电商抢购等。 大规模组网:云原生网络2.0当前最大可支持2000个ECS节点,10万个Pod。 核心技术 OVS IPVlan,VPC路由
将数据上报并存储到AOM或三方监控平台。Prometheus Agent视图展示了Prometheus提供的一些内置指标,可用于监控和度量系统的性能和状态。 指标说明 Prometheus Agent视图暴露的指标如下: 图1 Prometheus Agent资源指标 表1 Prometheus
云原生监控插件兼容自建Prometheus 云原生监控插件兼容模式 若您已自建Prometheus,且您的Prometheus基于开源,未做深度定制、未与您的监控系统深度整合,建议您卸载自建Prometheus并直接使用云原生监控插件对您的集群进行监控,无需开启“兼容模式”。 卸载您自建的Prometh
如何驱逐节点上的所有Pod? 您可使用kubectl drain命令从节点安全地逐出所有Pod。 默认情况下,kubectl drain命令会保留某些系统级Pod不被驱逐,例如everest-csi-driver。 使用kubectl连接集群。 查看集群中的节点。 kubectl get node
EulerOS 2.0、Ubuntu 22.04、EulerOS 2.9、EulerOS 2.10操作系统,相关团队和CCE已修复该问题,请关注操作系统镜像版本说明。 在发布修复的OS镜像后,新建集群、节点默认修复该漏洞,存量节点可通过重置节点修复。若集群版本已经EOS,需先升级集群版本。
Seccomp是一种系统调用过滤机制,它能够限制进程能够使用的系统调用,从而减少潜在的攻击面。Linux操作系统提供了数百个系统调用,但并非所有这些调用对于容器化应用都是必需的。通过限制容器可以执行的系统调用,您可以显著降低应用程序受到攻击的风险。 Seccomp的核心原理是拦截所有系统调用,
容器内的文件权限和用户都是问号 问题现象 节点操作系统为CentOS 7.6或EulerOS 2.5时,如果使用“Debian GNU/Linux 11 (bullseye)”内核为基础镜像的容器,会出现容器内的文件权限和用户异常。 问题影响 容器内文件权限及用户异常。 解决方案
选择上报并存储到AOM或三方监控平台。Prometheus Server视图展示了Prometheus提供的一些内置指标,可用于监控和度量系统的性能和状态。 指标说明 Prometheus Server视图暴露的指标如下: 图1 Prometheus Server资源指标 表1 Prometheus
在VPC网络集群中访问集群外地址时使用Pod IP作为客户端源IP 在使用VPC网络的CCE集群中,Pod与集群外部通信时,系统默认会将源Pod的IP地址转换为节点的IP地址,使Pod以节点IP的形式与外部进行通信。这一过程被称为“Pod IP伪装”,技术上也称为源网络地址转换(Source
节点远程登录界面(VNC)打印较多source ip_type日志问题 问题场景 集群版本:v1.15.6-r1版本 集群类型:CCE集群 网络模式:VPC网络 节点操作系统:CentOS 7.6 上述节点的容器进行容器间通信时,由于容器网络组件在VNC界面打印较多source ip_type或者not ipvlan
都带一堆Label非常不方便。Kubernetes提供了Namespace来做资源组织和划分,使用多Namespace可以将包含很多组件的系统分成不同的组。Namespace也可以用来做多租户划分,这样多个团队可以共用一个集群,使用的资源用Namespace划分开。 不同的Nam
容器存储是为容器工作负载提供存储的组件,支持多种类型的存储,同一个工作负载(pod)可以使用任意数量的存储。 云容器引擎CCE的容器存储功能基于Kubernetes存储系统,并深度融合云存储服务,完全兼容Kubernetes原生的存储服务,例如EmptyDir、HostPath、Secret、ConfigMap等存储。
Ingress支持在不同集群内进行流量镜像(Traffic Mirror),将访问请求复制一份路由到镜像后端,但会忽略镜像后端的返回值,因此不会对原有请求造成影响,可用于系统的仿真测试和问题定位。本文介绍如何使用Nginx Ingress进行不同集群应用间的流量镜像。 图1 流量镜像 准备工作 已创建2个CCE
Bit内存崩溃漏洞公告(CVE-2024-4323) Fluent Bit是一个功能强大、灵活且易于使用的日志处理和转发工具,适用于各种规模和类型的应用和系统(如Linux、Windows、嵌入式Linux、MacOS等)。Fluent Bit 是众多云提供商和企业使用的流行日志记录实用程序,目前下载和部署次数已超过130亿次。
监控采集任务配置由系统预置采集配置、ServiceMonitor采集配置、PodMonitor采集配置和Targets采集配置配置项共同提供。 系统预置采集配置 为保证插件默认行为的一致性,系统预置采集功能默认不开启,强烈建议您开启系统预置采集功能。 开启预置采集后,系统预置的采集任务
分配,然后通过这些虚拟化的硬件资源组成了虚拟机,并在上面运行一个完整的操作系统,每个虚拟机需要运行自己的系统进程。而容器内的应用进程直接运行于宿主机操作系统内核,没有硬件资源虚拟化分配的过程,避免了额外的系统进程开销,因此使得Docker技术比虚拟机技术更为轻便、快捷。 图2 传统虚拟化和容器化方式的对比
Kubernetes 中发现了一个安全问题,用户可以创建一个带有subPath volume挂载的容器,访问卷外的文件和目录,包括主机文件系统上的文件和目录。 容器使用subPath去挂载一些文件或者目录时,攻击者可能利用Symlink Exchange 访问除挂载目录之外的目录或者主机上的文件,造成越权。
简单并且高效,Kubernetes提供了应用部署、规划、更新、维护的一种机制。 对应用开发者而言,可以把Kubernetes看成一个集群操作系统。Kubernetes提供服务发现、伸缩、负载均衡、自愈甚至选举等功能,让开发者从基础设施相关配置等解脱出来。 您可以通过CCE控制台、
容器引擎从Docker迁移至Containerd。 前提条件 已创建至少一个集群,并且该集群支持Containerd节点,详情请参见节点操作系统与容器引擎对应关系。 您的集群中存在容器引擎为Docker的节点或节点池。 注意事项 理论上节点容器运行时的迁移会导致业务短暂中断,因此
准的Web浏览器和HTTP协议提供远程CLI,提供灵活的接口便于集成到独立系统中,可直接作为一个服务连接,通过cmdb获取信息并登录服务器。 web-terminal可以在Node.js支持的所有操作系统上运行,而不依赖于本机模块,快速且易于安装,支持多会话。 开源社区地址:https://github