检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
/dev/null的方式启动容器,然后手动执行启动脚本的方式得到的目录的权限是700,而不加tailf由Kubernetes自行启动的方式得到的目录权限却是751。 解决方案 这个问题是因为两种方式设置的umask值不一样,所以创建出来的目录权限不相同。 umask值用于为用户新创建的文件和
服务所需的证书 IngressTLS:CCE提供的TLS密钥类型,用于存放7层负载均衡服务所需的证书。 其他:若需要创建其他自定义类型的密钥,可手动输入密钥类型。 无 允许 - 镜像仓库凭据、负载均衡证书等常见密钥应用场景存在相应的分类,系统会对此类型密钥的数据进行基本的格式校验,无明确分类的密钥可选择一般密钥类型
密钥描述 密钥的描述信息 参数名 取值范围 默认值 是否允许修改 作用范围 description 描述信息以annotation注记形式承载,所有annotation总计不超过256kb “” 允许 - 用户自定义 密钥的描述信息 配置建议: 用户根据需求记录密钥的描述信息,如密钥的归属、用途等
管理节点标签 节点标签可以给节点打上不同的标签,给节点定义不同的属性,通过这些标签可以快速的了解各个节点的特点。 节点标签使用场景 节点标签的主要使用场景有两类。 节点管理:通过节点标签管理节点,给节点分类。 工作负载与节点的亲和与反亲和:通过为节点添加标签,您可以使用节点亲和性
在弹出的窗口中,在“批量操作”下方单击“新增批量操作”,然后选择“添加/更新”或“删除”,选择“K8S 污点(Taints)”。 填写需要操作污点的“键”和“值”,选择污点的效果,单击“确定”。 图1 添加污点 污点添加成功后,再次进入该界面,在节点数据下可查看到已经添加的污点。
自定义的安全加固等操作时,需要在创建节点的时候注入一些脚本。CCE创建节点提供了Kubernetes安装前和安装后两处注入脚本的功能。但是使用通常碰到如下限制: 注入脚本的字符有限。 各种需求、场景的多样性可能会经常修改注入的脚本内容,而对于CCE节点池的注入脚本是固定的,不适合经常修改。
节点干扰ContainerdSock检查异常处理 检查项内容 检查节点上是否存在干扰的Containerd.Sock文件。该文件影响Euler操作系统下的容器运行时启动。 解决方案 问题场景:节点使用的docker为定制的Euler-docker而非社区的docker 登录相关节点。 执行rpm -qa | grep
您可以将残留的资源(辅助弹性网卡会自动删除)删除。 以删除残留的弹性网卡为例,您需要前往弹性网卡界面将上一步查询到的网卡删除。 可以用ID过滤需要删除的弹性网卡,也可以通过集群ID的名称过滤需要删除的弹性网卡。 清理完成后,前往安全组页面确认该安全组已经没有关联的实例,然后前往CCE控制台即可正常删除集群。
点和CCE自身组件的安全,并在集群、容器级别提供一系列的层次化的安全能力,而用户则负责集群Node节点的安全并遵循CCE服务提供的安全最佳实践,做好安全配置和运维。 CCE服务的应用场景 云容器引擎是基于业界主流的Docker和Kubernetes开源技术构建的容器服务,提供众多
删除节点池 删除节点池,会先删除节点池中的节点,节点删除后,原有节点上的工作负载实例会自动迁移至其他节点池的可用节点。 约束与限制 对于包周期(包年/包月)预付费的节点池不能直接删除,请先移除节点池下全部的节点。 删除节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失,无法恢复
漏洞详情 Docker、containerd或者其他基于runc的容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。 华为云容器引擎已修复runc漏洞CVE-2019-5736。
relist中99%的操作的间隔分布情况 PLEG relist时延(99分位) 秒 Kubelet PLEG relist中99%的操作的时延分布情况 RPC速率 次/秒 不同状态响应码的RPC请求的次数 请求时延(99分位) 秒 不同method的请求的99%的时延分布情况 内存使用量
组均为paas的文件数据。 当前集群升级流程会将/var/paas路径下的文件的属主和属组均重置为paas。 请您参考下述命令排查当前业务Pod中是否将文件数据存储在/var/paas路径下,修改避免使用该路径,并移除该路径下的异常文件后重试检查,通过后可继续升级。 find /var/paas
Volume的生命周期与挂载它的Pod相同,但是Volume里面的文件可能在Volume消失后仍然存在,这取决于Volume的类型。 Volume的类型 Kubernetes的Volume有非常多的类型,在实际使用中使用最多的类型如下。 emptyDir:一种简单的空目录,主要用于临时存储。
该API用于获取任务信息。通过某一任务请求下发后返回的jobID来查询指定任务的进度。 集群管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径 该接口通常使用场景为: 创建、删除集群时,查询相应任务的进度。 创建、删除节点时,查询相应任务的进度。 调用方法 请参见如何调用API。
禁止删除集群 在实际使用过程中,您可能会遇到许多误删除集群的场景。例如,如果您的账号为多人协作使用,其他用户可能会误删除不属于自己的集群。因此,您可以为重要的集群设置禁止删除的保护措施,防止通过控制台或API误删除集群,避免集群中的重要数据丢失。 操作步骤 登录CCE控制台,单击集群名称进入集群控制台。
检查项内容 系统会扫描过去一天的审计日志,检查用户是否调用目标K8s版本已废弃的API。 由于审计日志的时间范围有限,该检查项仅作为辅助手段,集群中可能已使用即将废弃的API,但未在过去一天的审计日志中体现,请您充分排查。 解决方案 检查说明 根据检查结果,检测到您的集群通过kubectl
最大文件句柄数即打开文件数的最大限制,Linux系统中包含两个文件句柄限制:一个是系统级的,即所有用户的进程同时打开文件数的上限;一种是用户级的,即单个用户进程打开文件数的上限。但是在容器中,还有另一个文件句柄限制,即容器内部单进程最大文件句柄数。 修改节点系统参数的命令仅在使用公共镜像
annotations 配置项描述 配置项的描述信息 参数名 取值范围 默认值 是否允许修改 作用范围 description 描述信息以annotation注记形式承载,所有annotation总计不超过256kb “” 允许 - 配置建议: 用户根据需求记录Configmap的描述信息,如Configmap的归属、用途等
外部安全研究人员披露sudo中的堆溢出漏洞(CVE-2021-3156),该漏洞在类似Unix的主要操作系统上都可以使用。在其默认配置下会影响从1.8.2到1.8.31p2的所有旧版本以及从1.9.0到1.9.5p1的所有稳定版本。成功利用此漏洞,任何没有特权的用户都可以在易受攻击的主机上获得root特权。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
