检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
GPU驱动程序中与设备隔离相关的安全漏洞。当容器以非特权模式启动,攻击者利用这个漏洞,通过在容器中创建特殊的字符设备文件后,能够获取宿主机上所有GPU设备的访问权限。 关于漏洞的详细信息,请参见CVE-2021-1056。 如果您的CCE集群中存在GPU(ECS)节点,并使用了CCE推荐的NVIDIA
如何设置CCE集群中的VPC网段和子网网段? VPC中的子网网段一旦创建,便无法更改。创建虚拟私有云时,请预留一定的VPC网段和子网网段资源,避免后续无法扩容。 子网网段可在“创建虚拟私有云”页面的“子网配置 > 子网网段”中进行设置。在设置选项下可查看到“可用IP数”。 容器网
rule: RunAsAny volumes: - '*' 创建Pod安全策略sysctl-psp后,还需要为它绑定RBAC权限控制。 示例如下: kind: ClusterRole apiVersion: rbac.authorization.k8s.io/v1 metadata:
您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。 以非root用户运行 通过capability限制容器拥有的特权,如CAP_DAC_OVERRIDE、CA
通过ELB健康检查设置Pod就绪状态 Pod的就绪状态可与挂载到ELB后端的健康检查联动,在健康检查成功后,将Pod置为就绪。与Pod的strategy.rollingUpdate.maxSurge和strategy.rollingUpdate.maxUnavailable参数配合,可实现负载的优雅滚动升级。
断、工作负载诊断、核心插件诊断和外部依赖诊断,可以辅助您定位集群中出现的问题。本文介绍如何在集群中使用集群诊断功能。 前提条件 已获取资源权限 集群版本高于v1.17。 集群处于“运行中”状态。 功能入口 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“健康中心”。
后面在该节点上排查,发现有一个pvc磁盘使用达到了92%,将这个盘清理后,集群界面的磁盘使用率和云监控使用率一致了。 请问集群界面的节点监控是怎么样的原理,是否只报最大磁盘使用率的数据呢? 问题解答: CCE集群监控信息中,磁盘使用率为当前节点中使用率最高的硬盘的监控信息。 父主题:
它们之间存在主从关系,并且需要相互通信。这种情况下,使用普通Service无法通过Cluster IP来保证访问到某个指定的实例,因此需要设置Headless Service直接访问Pod的真实IP地址,实现Pod间互相访问。 Headless Service一般结合Statef
下一项权限,详情请参见命名空间权限(Kubernetes RBAC授权)。 cluster-admin(管理员权限):对全部命名空间下所有资源的读写权限。 drainage-editor:节点排水操作权限,可执行节点排水。 drainage-viewer:节点排水只读权限,仅可查看节点排水状态,无法执行节点排水。
v3版本语法的模板包。 模板若存在多个版本,则消耗对应数量的模板配额。 由于模板的操作权限同时具有较高的集群操作权限,因此租户应当谨慎授予用户对于模板生命周期管理的权限,包括上传模板的权限,以及创建、删除和更新模板实例的权限。 模板包规范 以下以redis为例,在准备redis模板包时根据模板包规范制作模板包。
当前账号未被授予该操作所需的集群RBAC权限 问题现象 当您访问控制台时,出现报错“无任何命名空间的资源权限,请联系管理员添加权限”。 问题原因 您使用的账号未被授予当前操作所需的集群RBAC权限。 解决方案 使用华为云账号或者具有管理员权限的账号登录IAM管理控制台,在左侧导航栏中选择“用户”。
其总是优先采用UDP协议与上游DNS服务器进行通信,避免解析异常。建议您使用以下方式修改CoreDNS配置文件。 在forward插件用于设置 upstream Nameservers 上游 DNS 服务器。包含以下参数: prefer_udp:即使请求通过TCP传入,也要首先尝试使用UDP。
常见故障场景。 资源权限 由于云原生观测相关的功能在运行中对监控、告警、通知服务等各类云服务资源都存在依赖关系,因此当您首次使用云原生观测相关的功能时,系统将自动请求获取当前区域下的云资源权限,从而更好地为您提供服务。 具体授予的权限如下表: 授权类型 权限名称 描述 CCE IAM
按照不同的业务创建对应的命名空间,例如系统若分为登录和游戏服务,可以分别创建对应命名空间。 创建命名空间 登录CCE控制台,单击集群名称进入集群。 在左侧导航栏中选择“命名空间”,在右上角单击“创建命名空间”。 参照表1设置命名空间参数。 表1 命名空间基本信息 参数 参数说明 名称
“确认授权”按钮后系统自动完成授权。所授予的权限类型请参考表1。 表1 资源权限 授权类型 权限名称 描述 CCE IAM ReadOnlyAccess 云原生成本治理获得该权限后,支持子用户进行访问云原生成本治理,因此需要获得该权限。 CCE Tenant Guest 云原生成本治理支持对集群关联的
代替。 web-terminal中kubectl具有高级别操作权限,限账号以及具有CCE Administrator权限的IAM用户安装此插件,如需收缩插件中kubectl权限,请参见收缩web-terminal权限操作。 集群必须安装CoreDNS才能使用web-terminal。
M Token认证,支持集群级别、命名空间级别的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 CCE权限概述 集群权限(IAM授权) 命名空间权限(Kubernetes RBAC授权)
th)”。 设置添加本地磁盘参数,如表1。 表1 卷类型选择主机路径挂载 参数 参数说明 存储类型 主机路径(HostPath)。 主机路径 输入主机路径,如/etc/hosts。 说明: 请注意“主机路径”不能设置为根目录“/”,否则将导致挂载失败。挂载路径一般设置为: /op
建议使用低权限账号启动,否则可能会造成宿主机高危文件被破坏。 子路径 请输入存储卷的子路径,将存储卷中的某个路径挂载至容器,可以实现在单一Pod中使用同一个存储卷的不同文件夹。如:tmp,表示容器中挂载路径下的数据会存储在存储卷的tmp文件夹中。不填写时默认为根路径。 权限 只读:只能读容器路径中的数据卷。
建议使用低权限账号启动,否则可能会造成宿主机高危文件被破坏。 子路径 请输入存储卷的子路径,将存储卷中的某个路径挂载至容器,可以实现在单一Pod中使用同一个存储卷的不同文件夹。如:tmp,表示容器中挂载路径下的数据会存储在存储卷的tmp文件夹中。不填写时默认为根路径。 权限 只读:只能读容器路径中的数据卷。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
