检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
2021-02-07 漏洞影响 该漏洞为Linux内核权限校验漏洞,根因为没有针对性的检查设置release_agent文件的进程是否具有正确的权限。在受影响的OS节点上,工作负载使用了root用户运行进程(或者具有CAP_SYS_ADMIN权限),并且未配置seccomp时将受到漏洞影响。 CCE集群受该漏洞影响的范围如下:
排查项一:节点负载过高 排查项二:弹性云服务器是否删除或故障 排查项三:弹性云服务器能否登录 排查项四:安全组是否被修改 排查项五:检查安全组规则中是否包含Master和Node互通的安全组策略 排查项六:检查磁盘是否异常 排查项七:内部组件是否正常 排查项八:DNS地址配置错误 排查项九:检查节点中的vdb盘是否被删除
CCE时,您需要创建一个初始集群,并添加一个节点。 应用镜像上传到容器镜像服务后,部署容器应用的方式都是基本类似的。不同点在于是否需要设置环境变量,是否需要使用云存储,这些也是和业务直接相关。 使用云服务 云容器引擎CCE:提供高可靠高性能的企业级容器应用管理服务,支持Kuber
节点挂载点检查异常处理 检查项内容 检查节点上是否存在不可访问的挂载点。 解决方案 问题场景:节点上存在不可访问的挂载点 节点存在不可访问的挂载点,通常是由于该节点或节点上的Pod使用了网络存储nfs(常见的nfs类型有obsfs、sfs等),且节点与远端nfs服务器断连,导致挂
$containerID | grep oom 根据日志判断是否触发了系统OOM。 排查思路 根据具体事件信息确定具体问题原因,如表1所示。 表1 容器启动失败 日志或事件信息 问题原因与解决方案 日志中存在exit(0) 容器中无进程。 请调试容器是否能正常运行。 排查项一:(退出码:0)容器中无持续运行的进程
Pod水平伸缩同步周期 水平弹性伸缩控制器同步 pod 数量的周期,每隔一个同步周期伸缩控制器会对pod和伸缩策略做一次扫描,判断是否需要触发伸缩动作 参数名 取值范围 默认值 是否允许修改 作用范围 horizontal-pod-autoscaler-sync-period 大于等于0 5 允许
第三方服务集成:网站可能需要调用第三方服务(例如地图服务、社交平台登录等)的API接口,则需要配置CORS允许跨域访问。 使用内容分发网络CDN:静态资源可能通过CDN提供,而CDN域名与主站域名不同,需要使用跨域访问来加载这些资源。 为Nginx Ingress配置跨域访问示例 本文以一个前端应用程序(frontend
192.168.135.24:/a/b/c。 检查Pod所在节点与需挂载的SFS Turbo文件系统间的网络是否打通。 在节点上执行如下指令,可测试SFS Turbo是否可以挂载。 mount -t nfs -o vers=3,nolock,noresvport {sfsturbo共享地址}
使用Kubernetes Image Builder构建的镜像启用了默认SSH用户名密码(builder用户),可能允许攻击者获得对虚拟机(VM)的root访问权限。CCE节点镜像不使用Kubernetes Image Builder构建,不受该漏洞的影响。 判断方法 您可以在节点上执行以下命令: id
第三方服务集成:网站可能需要调用第三方服务(例如地图服务、社交平台登录等)的API接口,则需要配置CORS允许跨域访问。 使用内容分发网络CDN:静态资源可能通过CDN提供,而CDN域名与主站域名不同,需要使用跨域访问来加载这些资源。 ELB Ingress的跨域访问功能依赖ELB能力,使用该
容器隧道网络模型 容器隧道网络是在主机网络平面的基础上,通过隧道封装技术来构建一个独立的容器网络平面。CCE集群容器隧道网络使用了VXLAN作为隧道封装协议,并使用了Open vSwitch作为后端虚拟交换机。VXLAN是一种将以太网报文封装成UDP报文进行隧道传输的协议,而Open
- v1.30.1-r2 判断方法 登录CCE控制台,单击集群名称进入集群总览页面,查看集群版本。 如果集群版本不在上述范围内则不受漏洞影响。 如果集群版本在受影响范围内,您可以通过以下命令,检查集群中是否存在该漏洞被利用的情况。 该命令会列举所有挂载使用了gitRepo类型的存储卷,并将仓库克隆到
CVE-2022-23648 中 2022-02-28 漏洞影响 用户在使用了恶意构造的镜像时,会导致容器内可获取主机上的任意文件的只读副本,从而泄露敏感信息。 该漏洞影响范围如下: 使用containerd作为Kubernetes CRI运行时,且使用了未知来源的恶意镜像。使用docker作为CRI时不涉及该漏洞。
1以及以上。在标准的docker环境下,由于使用了Docker seccomp filter,默认情况下不受该漏洞影响。在Kubernetes场景下,默认禁用了seccomp filter,在内核以及权限满足时受该漏洞影响。 CCE当前不受影响 判断方法 uname -a查看内核版本号 规避和消减措施
tes提供了Liveness Probe机制,通过检测容器响应是否正常来决定是否重启,这是一种很好的健康检查机制。 毫无疑问,每个Pod最好都定义Liveness Probe,否则Kubernetes无法感知Pod是否正常运行。 Kubernetes支持如下三种探测机制。 HTTP
云容器引擎CCE如何定价/收费? CCE集群的计费方式如何由按需改为包年包月? CCE创建的节点是否支持按需转包周期? 华为云支持哪几种开具发票模式? CCE是否支持余额不足提醒? CCE是否支持账户余额变动提醒? 包周期的CCE集群到期可以直接删除吗? 如何退订我的云容器引擎?
loop on virtual device gw_11cbf51a, fix it urgently,如图: 原因定位 VPC网络模式的集群采用了linux开源社区的ipvlan模块实现容器网络通信,这一日志打印与ipvlan的设计实现有关,ipvlan L2E模式它优先进行二层转发,再进行三层转发。
节点CPU使用率检查异常处理 检查项内容 检查节点CPU使用量是否超过90%。 解决方案 请在业务低峰时进行集群升级。 请检查该节点的Pod部署数量是否过多,适当驱逐该节点上Pod到其他空闲节点。 父主题: 升级前检查异常问题排查
节点内存检查异常处理 检查项内容 检查节点内存使用量是否超过90%。 解决方案 请在业务低峰时进行集群升级。 请检查该节点的Pod部署数量是否过多,适当驱逐该节点上Pod到其他空闲节点。 父主题: 升级前检查异常问题排查
节点ID文件检查异常处理 检查项内容 检查节点的ID文件内容是否符合格式。 解决方案 在CCE控制台上的“节点管理”页面,单击异常节点名称进入ECS界面。 复制节点ID,保存到本地。 图1 复制节点ID 登录异常节点,备份文件 。 cp /var/lib/cloud/data/instance-id
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
