检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
取权限”和“写入权限”,“对象权限”勾选“对象读权限”,“ACL访问权限”勾选“读取权限”和“写入权限”,单击“确定”。 步骤二:创建挂载OBS的工作负载 基于账号A的OBS,账号B创建对应的PV和PVC,并将PVC挂载到需要的工作负载中。 创建名为paas-obs-endpoi
仅当攻击者具备以下条件之一时,可利用该漏洞: 攻击者具有集群工作负载的创建或更新权限。 集群中工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限。 典型漏洞利用场景: 攻击者具有集群工作负载的创建或更新权限,创建工作负载时设置容器进程的WORKDIR为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。
容器内用户拥有CAP_SYS_ADMIN权限,并且内核版本在5.1以及以上。在标准的docker环境下,由于使用了Docker seccomp filter,默认情况下不受该漏洞影响。在Kubernetes场景下,默认禁用了seccomp filter,在内核以及权限满足时受该漏洞影响。 CCE当前不受影响
断、工作负载诊断、核心插件诊断和外部依赖诊断,可以辅助您定位集群中出现的问题。本文介绍如何在集群中使用集群诊断功能。 前提条件 已获取资源权限。 集群版本高于v1.17。 集群处于“运行中”状态。 功能入口 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“健康中心”。
节点的地址),注册的地址为:服务所在节点IP,这种方案可以满足注册中心利用VM部署,缺陷是使用主机网络效率没有容器网络高。 父主题: 容器设置
以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。 华为云容器引擎已修复runc漏洞CVE-2019-5736。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 华为云修复时间
GPU驱动程序中与设备隔离相关的安全漏洞。当容器以非特权模式启动,攻击者利用这个漏洞,通过在容器中创建特殊的字符设备文件后,能够获取宿主机上所有GPU设备的访问权限。 关于漏洞的详细信息,请参见CVE-2021-1056。 如果您的CCE集群中存在GPU(ECS)节点,并使用了CCE推荐的NVIDIA
Turbo集群时如何设置IPv6服务网段 问题背景 当您需要创建一个IPv4/IPv6双栈的CCE Turbo集群时,需要设置IPv6服务网段,该网段默认值为fc00::/112,包含了65536个IPv6服务地址。如果您需要自定义服务网段,您可参考本文进行设置。 IPv6介绍 IPv6地址
Pod带宽限制不支持HostNetwork类型Pod。 通过控制台设置 通过控制台创建工作负载时,您可在创建工作负载页面的“高级配置 > 网络配置”中设置Pod入/出口带宽限速。 图1 网络配置 通过kubectl命令行设置 您可以通过对工作负载添加annotations指定出口带宽和入口带宽,如下所示。
Kubernetes中的Service对象就是用来解决上述Pod访问问题的。Service有一个固定IP地址(在创建CCE集群时有一个服务网段的设置,这个网段专门用于给Service分配IP地址),Service将访问它的流量转发给Pod,具体转发给哪些Pod通过Label来选择,而且
您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。 以非root用户运行 通过capability限制容器拥有的特权,如CAP_DAC_OVERRIDE、CA
rule: RunAsAny volumes: - '*' 创建Pod安全策略sysctl-psp后,还需要为它绑定RBAC权限控制。 示例如下: kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata:
后面在该节点上排查,发现有一个pvc磁盘使用达到了92%,将这个盘清理后,集群界面的磁盘使用率和云监控使用率一致了。 请问集群界面的节点监控是怎么样的原理,是否只报最大磁盘使用率的数据呢? 问题解答: CCE集群监控信息中,磁盘使用率为当前节点中使用率最高的硬盘的监控信息。 父主题:
它们之间存在主从关系,并且需要相互通信。这种情况下,使用普通Service无法通过Cluster IP来保证访问到某个指定的实例,因此需要设置Headless Service直接访问Pod的真实IP地址,实现Pod间互相访问。 Headless Service一般结合Statef
下一项权限,详情请参见命名空间权限(Kubernetes RBAC授权)。 cluster-admin(管理员权限):对全部命名空间下所有资源的读写权限。 drainage-editor:节点排水操作权限,可执行节点排水。 drainage-viewer:节点排水只读权限,仅可查看节点排水状态,无法执行节点排水。
v3版本语法的模板包。 模板若存在多个版本,则消耗对应数量的模板配额。 由于模板的操作权限同时具有较高的集群操作权限,因此租户应当谨慎授予用户对于模板生命周期管理的权限,包括上传模板的权限,以及创建、删除和更新模板实例的权限。 模板包规范 以下以redis为例,在准备redis模板包时根据模板包规范制作模板包。
当前账号未被授予该操作所需的集群RBAC权限 问题现象 当您访问控制台时,出现报错“无任何命名空间的资源权限,请联系管理员添加权限”。 问题原因 您使用的账号未被授予当前操作所需的集群RBAC权限。 解决方案 使用华为云账号或者具有管理员权限的账号登录IAM管理控制台,在左侧导航栏中选择“用户”。
其总是优先采用UDP协议与上游DNS服务器进行通信,避免解析异常。建议您使用以下方式修改CoreDNS配置文件。 在forward插件用于设置 upstream Nameservers 上游 DNS 服务器。包含以下参数: prefer_udp:即使请求通过TCP传入,也要首先尝试使用UDP。
th)”。 设置添加本地磁盘参数,如表1。 表1 卷类型选择主机路径挂载 参数 参数说明 存储类型 主机路径(HostPath)。 主机路径 输入主机路径,如/etc/hosts。 说明: 请注意“主机路径”不能设置为根目录“/”,否则将导致挂载失败。挂载路径一般设置为: /op
“确认授权”按钮后系统自动完成授权。所授予的权限类型请参考表1。 表1 资源权限 授权类型 权限名称 描述 CCE IAM ReadOnlyAccess 云原生成本治理获得该权限后,支持子用户进行访问云原生成本治理,因此需要获得该权限。 CCE Tenant Guest 云原生成本治理支持对集群关联的
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
