检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
集群有被攻击的风险。 IAM用户下载的配置文件所拥有的Kubernetes权限与CCE控制台上IAM用户所拥有的权限一致。 如果Linux系统里面配置了KUBECONFIG环境变量,kubectl会优先加载KUBECONFIG环境变量,而不是$home/.kube/config,使用时请注意。
单”,将不需要上报的事件添加至黑名单进行管理,其中“事件名称”可通过CCE事件列表查询。 普通事件上报:开启后,会将普通事件上报至AOM,系统默认配置了部分需要上报的普通事件。如果您需要自定义上报的事件,可以单击“配置白名单”,将需要上报添加至白名单进行管理,其中“事件名称”可通过CCE事件列表查询。
V2,存量集群不支持开启。 开启了DataPlane V2后,不支持启用云原生混部的出口网络带宽保障能力。 支持的操作系统 仅支持Huawei Cloud EulerOS 2.0操作系统。 加速数据链路 Pod或Node访问Service的ClusterIP以及ExternalIP时,会使
TCP/UDP端口范围,否则除默认端口外的其他端口将无法被外部访问。 说明: 端口号小于20106会和系统组件的健康检查端口冲突,引发集群不可用;端口号高于32767会和操作系统的随机端口冲突,影响性能。 容器网段配置(VPC网络模型集群支持) 当创建集群时设置的容器网段太小,无
的目录权限不相同。 umask值用于为用户新创建的文件和目录设置缺省权限。如果umask的值设置过小,会使群组用户或其他用户的权限过大,给系统带来安全威胁。因此设置所有用户默认的umask值为0077,即用户创建的目录默认权限为700,文件的默认权限为600。 可以在启动脚本里面
Administrator、CCE FullAccess等),也可以在CCE控制台授予某个集群的命名空间权限。但由于CCE控制台界面权限是由IAM系统策略进行判断,如果IAM子用户未配置集群管理(IAM)权限,该子用户将无法进入CCE控制台。 如果您无需使用CCE控制台,只使用kubec
Admission定义了三种标签,如表2,您可以在某个命名空间中设置这些标签来定义需要使用的Pod安全性标准级别,但请勿在kube-system等系统命名空间修改Pod安全性标准级别,否则可能导致系统命名空间下Pod故障。 表2 Pod Security Admission标签 隔离模式(mode) 生效对象 描述
io/access-demo2 created 通过YAML使用Egress规则 容器隧道网络模型集群中,1.23及以上集群版本支持Egress规则操作系统。 场景一:通过网络策略限制Pod只能访问指定地址 图3 ipBlock 目标Pod具有role=db标签,该Pod只允许访问172.16
启节点;如通过API或其他方式创建节点则需要用户在“安装后执行脚本”中添加驱动安装命令。 支持的NPU卡类型和对应的操作系统规格如下: NPU卡类型 支持的操作系统 D310 EulerOS 2.5 x86、CentOS 7.6 x86、EulerOS 2.9 x86、EulerOS
完成后,可在容器工作负载中作为文件或者环境变量使用。 密钥配置 敏感操作保护 CCE控制台支持敏感操作保护,开启后执行删除集群敏感操作时,系统会进行身份验证,进一步保证CCE的安全性。 敏感操作保护介绍 父主题: 安全
docker info |grep "Cgroup" 显示如下: Cgroup Driver: cgroupfs 表明容器引擎使用的cgroup系统为cgroupfs,并未使用systemd cgroup,不受此漏洞影响。 漏洞修复方案 华为云CCE集群未开启runc的systemd
云原生观测体系概述 云原生可观测性是指在云原生架构中,通过使用各种工具和技术来实现对应用程序和基础设施的监控告警、日志、故障排除等功能的一套完整的解决方案。本文介绍云容器引擎CCE可观测性架构分层和主要的可观测能力,以帮助您对CCE云原生可观测性生态有一个全面的认识。 图1 可观测性体系
个拓扑域中仅包含一个节点,因此可以实现单个节点级别的负载亲和性调度。 如果指定标签为kubernetes.io/os,此时标签值为节点的操作系统类型,则将不同操作系统的节点划分为不同的拓扑域,此时一个拓扑域中可能包含多个节点,因此可以将多个节点作为一个整体进行负载亲和性调度。 例
标集群的推荐数据等。 迁移工具支持在Linux(x86、arm)、Windows环境中运行,因此您可以在这些操作系统中任选一种作为服务器的操作系统。 对于Linux操作系统来说,使用image-migrator前,需要运行chmod u+x 工具名 命令(例如chmod u+x
如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 后端协议:选择“GRPC”。 说明: 仅独享型ELB支持选择GRPC协议,且需开启HTTP/2,系统将自动为您添加kubernetes.io/elb.http2-enable:true注解。 当前GRPC功能仅在部分区域开放,请以控制台呈现为准。
请在业务低峰期操作。如果Pod具有特定的节点选择器,且集群中的其他节点均不符合标准,则工作负载实例可能仍处于无法安排的状态。 删除过程中,系统会把当前节点池中的节点均设置为不可调度状态。 操作步骤 登录CCE控制台。 单击集群名称进入集群,在左侧选择“节点管理”,在右侧选择“节点池”页签。
在NVIDIA Container Toolkit v1.16.1及更早版本的环境中,攻击者通过运行一个恶意镜像,可能实现容器逃逸,从而获得主机系统的访问权限。成功利用此漏洞可能会导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 判断方法 如果集群未安装CCE AI套件(NVIDIA
# OBS桶的名称 fsType: s3fs # obsfs表示并行文件系统;s3fs表示对象桶 volumeAttributes: everest.io/obs-volume-type: STANDARD
监控中心概述 监控中心是华为云打造的新一代云原生容器运维平台,可实时监控应用及资源,采集各项指标及事件等数据以分析应用健康状态,提供全面、清晰、多维度数据可视化能力,兼容主流开源组件,并提供快捷故障定位的能力。 功能介绍 多维度数据洞察:提供基于Kubernetes原生类型的容器
Dashboard插件,单击“安装”。 (3.0.2及以上版本支持)在安装插件页面,设置“规格配置”。 表1 插件规格配置 参数 参数说明 插件规格 该插件可配置系统预置规格或自定义规格。 容器 选择自定义规格时,您可根据需求调整插件实例的容器规格。 在参数配置页面,配置以下参数。 访问方式:支持“节点
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
