检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
严重 2024-08-19 漏洞影响 在社区ingress-nginx控制器v1.11.2之前的版本中,攻击者若具备在Kubernetes集群中创建Ingress对象(属于networking.k8s.io或extensions API 组)的权限,可能绕过注解验证并注入任意命令,
CCE突发弹性引擎(对接 CCI)作为一种虚拟的kubelet用来连接Kubernetes集群和其他平台的API。Bursting的主要场景是将Kubernetes API扩展到无服务器的容器平台(如CCI)。 基于该插件,支持用户在短时高负载场景下,将部署在云容器引擎CCE上的无状态负载(Deploy
该服务将有可能被与该节点在同一局域网中的其他主机,或与该服务运行在同一节点上的容器所访问。如果端口1234上的服务不需要额外的认证(因为假设只有其他localhost进程可以),那么很容易受到利用此bug进行攻击。 华为云提醒使用kube-proxy的用户及时安排自检并做好安全加固。
修改一个或多个节点上的污点。 certificate* 修改证书资源。 故障诊断和调试命令 describe describe命令类似于get,同样用于获取资源的相关信息。不同的是,get获得的是定义该资源的详细信息,而describe获得的是资源在集群内相关的状态信息。descr
基于GPU监控指标的工作负载弹性伸缩配置 集群中包含GPU节点时,可通过GPU指标查看节点GPU资源的使用情况,例如GPU利用率、显存使用量等。在获取GPU监控指标后,用户可根据应用的GPU指标配置弹性伸缩策略,在业务波动时自适应调整应用的副本数量。 前提条件 目标集群已创建,且集群中包含GPU节点,并已运行GPU相关业务。
单击“立即创建”。 单击已创建的对等连接名称,添加路由。 单击“添加路由表”,在vpc-X的路由表中,添加vpc-A的网段,即172.16.0.0/16。 同时勾选“添加另一端VPC的路由”,在vpc-A的路由表中,添加vpc-X的网段,即192.168.0.0/16。 图2 添加路由示例 单击“确定”。
在路由添加提示对话框中,单击“立即添加”,跳转到对等连接详情页面,继续执行步骤二:添加VPC对等连接路由,添加路由。 步骤二:添加VPC对等连接路由 在对等连接详情页面下方区域,单击“添加路由”。 弹出对等连接的“添加路由”对话框。 图3 添加对等连接路由 根据界面提示,在VPC路由表中添加路由。 参数说明如表2所示。
需要具备IDC并提前申请云专线服务。 操作步骤 创建物理连接 登录管理控制台,在管理控制台左上角单击,选择区域和项目。在控制台首页,单击左上角的,在展开的列表中单击“网络 > 云专线 DC”。 在“网络控制台”的左侧栏目树中,单击“云专线 > 物理连接”,单击右侧的“创建物理连接”。 根据界面提示,配置机房地址
object metadata是节点对象的元数据定义,是集合类的元素类型,包含一组由不同名称定义的属性。 spec NodeSpec object spec是集合类的元素类型,用户对需要管理的节点对象进行详细描述的主体部分都在spec中给出。系统通过spec的描述来创建或更新对象。 status
cert Base64编码 无 允许 CCE Standard/CCE Turbo 客户端证书私钥 认证模式为 authenticating_proxy 时,指定代理根证书签发的客户端证书对应的私钥 参数名 取值范围 默认值 是否允许修改 作用范围 Authentication.authenticatingProxy
选择“污点(Taints)”,并填写键值与污点效果。示例中,为GPU/NPU节点添加accelerator=true:NoSchedule的污点。 图1 添加污点 创建GPU/NPU工作负载时,在高级配置中,手动添加容忍策略,容忍该污点。 图2 容忍策略 普通工作负载创建时,无需添加容忍策略。由于未容忍该污点,则不会被调度到GPU/NPU节点。
从集群外访问集群内负载时,来访者的IP地址、端口、协议需在集群安全组的入方向规则中开放。 集群内的工作负载访问外部时,访问的地址、端口、协议需在集群安全组的出方向规则中开放。 更多安全组配置信息请参见集群安全组规则配置。 父主题: 网络异常问题排查
ccount的Secret来获取Token,这种方式获得的Token是永久的。该方式在1.21及以上的版本中不再推荐使用,并且根据社区版本迭代策略,在1.25及以上版本的集群中,ServiceAccount将不会自动创建对应的Secret。 1.21及以上版本的集群中,直接使用TokenRequest
packet loss 将集群的容器网段添加到ECS安全组的入方向规则中,使在集群内的Pod中都能访问到该ECS。若只希望从集群中的某个Pod访问该ECS,您可以只将该Pod的IP地址添加到ECS安全组的入方向规则中。 进入控制台首页,单击左上角的,在展开的列表中单击“计算 > 弹性云服务器
GET请求,如果Probe收到2xx或3xx,说明容器是健康的。 TCP Socket:尝试与容器指定端口建立TCP连接,如果连接成功建立,说明容器是健康的。 Exec:Probe执行容器中的命令并检查命令退出的状态码,如果状态码为0则说明容器是健康的。 与存活探针对应的还有一个就绪探针(Readiness
Ingress配置跨域访问 在Web开发中,由于浏览器的同源策略,一个域下的网页通常不能直接请求另一个域下的资源。CORS(跨资源共享,Cross-Origin Resource Sharing)提供了一种安全的方式来绕过这个限制,允许跨域请求。 使用CORS允许跨域访问的场景较多,可能的场景如下:
创建。 在创建成功页面单击“返回工作负载列表”,查看工作负载状态,若显示为“运行中”则jenkins应用已可以正常访问。 登录并初始化Jenkins 在CCE控制台,单击左侧栏目树中的“服务”,在“服务”页签下查看jenkins的访问方式。 图6 访问8080端口对应的访问方式
配置为cceNodeName的节点, 其节点名称、K8S节点名称以及虚机名称相同。节点名称不支持修改, 并且在ECS侧修改了虚机名称,同步云服务器时,不会将修改后的虚机名称同步到节点。 配置为cceNodeName的节点,为了避免K8S节点名称冲突,系统会自动在节点名称后添加后缀,后缀的格式为中划线(
服务所需的证书 IngressTLS:CCE提供的TLS密钥类型,用于存放7层负载均衡服务所需的证书。 其他:若需要创建其他自定义类型的密钥,可手动输入密钥类型。 无 允许 - 镜像仓库凭据、负载均衡证书等常见密钥应用场景存在相应的分类,系统会对此类型密钥的数据进行基本的格式校验,无明确分类的密钥可选择一般密钥类型
外一个集群的Pod。同理,如果两端集群的节点需要相互访问,节点安全组需要放通对端集群的VPC网段。 两端的VPC路由表中均需要添加访问对端网段的路由。例如,VPC 1的路由表需添加访问VPC 2网段的路由,同时,VPC 2的路由表也需要添加访问VPC 1的路由。 添加对端集群VP
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
