检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CCE AI套件(Ascend NPU)是支持容器里使用NPU设备的管理插件。 安装本插件后,可创建“AI加速型”节点,实现快速高效地处理推理和图像识别等工作。 字段说明 表1 参数描述 参数 是否必选 参数类型 描述 basic 否 object 插件基础配置参数,无需指定。 flavor
Kubernetes安全响应委员会披露了Kubernetes Image Builder中的两个安全漏洞(CVE-2024-9486和CVE-2024-9594),这些漏洞可能允许攻击者获得对虚拟机(VM)的root访问权限。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸
512Mi imagePullSecrets: - name: default-secret 这里可以看出DaemonSet没有Deployment或StatefulSet中的replicas参数,因为DaemonSet会在每个目标节点上固定部署一个Pod。 Pod
timed out waiting for the condition 问题原因 插件的Pod没有到达就绪状态,导致插件无法完成安装/升级。 解决方案 在“总览”页面查看“K8S事件”,确认Pod没有就绪的原因。 常见原因 解决方案 原因一:Pod无法调度 对应事件内容:FailedScheduling
Scheduler是负责Pod调度的组件,它由一系列action和plugin组成。action定义了调度各环节中需要执行的动作;plugin根据不同场景提供了action 中算法的具体实现细节。Volcano Scheduler具有高度的可扩展性,您可以根据需要实现自己的action和plugin。 图1 Volcano
上报到云日志服务(LTS) 用于配置日志上报的日志组和日志流。 使用默认日志组/日志流:将为您自动选择默认日志组(k8s-log-{集群ID})和默认的日志流(stdout-{集群ID})。 自定义日志组/日志流:可在下拉框选择任意日志组和日志流。 日志组:云日志服务进行日志管理的基本
swr.cn-east-3.myhuaweicloud.com/{组织名称}/{镜像名称}:{版本名称} 记录下镜像的访问地址以供后文填写。 例如记录下地址为:swr.cn-east-3.myhuaweicloud.com/dev-container/spark:3.1.3-obs
使用GPU虚拟化 本文介绍如何使用GPU虚拟化能力实现算力和显存隔离,高效利用GPU设备资源。 前提条件 已完成GPU虚拟化资源准备。 如果您需要通过命令行创建,需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。 约束与限制 单个GPU卡最多虚拟化成20个GPU虚拟设备。
采集、存储和可视化展现,精心打造云原生应用的良好可观测性能力。 将云原生基础设施监控和应用负载监控进行关联,提供全栈监控,使用户能够随时随地清晰地感知基础设施和应用负载状态。 能够对Kubernetes集群、节点、容器组(Pod)等进行详细监控,对业务提供端到端追踪和可视化,提供
Server 插件介绍 从Kubernetes 1.8开始,Kubernetes通过Metrics API提供资源使用指标,例如容器CPU和内存使用率。这些度量可以由用户直接访问(例如,通过使用kubectl top命令),或者由集群中的控制器(例如,Horizontal Pod
log-agent组件 容器组件 说明 资源类型 fluent-bit 轻量级的日志收集器和转发器,部署在每个节点上采集日志。 DaemonSet cop-logs 负责生成采集文件的软链接,和fluent-bit运行在同一Pod。 DaemonSet log-operator 负责生成内部的配置文件。
只支持数值配置。 调大此值会减慢空闲容器网卡的回收,加快Pod的启动速度,但会降低IP地址的利用率,特别是在IP地址紧张的场景,请谨慎调大。 调小此值会加快空闲容器网卡的回收,提高IP地址的利用率,但在瞬时大量Pod激增的场景,部分Pod启动会稍微变慢。 配置建议: 建议设置为
<port_8>"]}' 例如以下示例表示,端口配置名称为cce-service-0,其监听端口范围为100~200和300~400;端口配置名称为cce-service-1,其监听端口范围为500~600和700~800。 '{"cce-service-0":["100,200", "300,400"]
API概览 云容器引擎所提供的接口分为CCE接口与Kubernetes原生接口。通过配合使用CCE接口和Kubernetes原生接口,您可以完整的使用云容器引擎的所有功能,包括创建集群和节点,使用Kubernetes接口创建容器工作负载,使用CCE接口监控工作负载的使用数据等。 类型
cgroup,但在应用删除时,内核已经删除了 cgroup (/sys/fs/cgroup/memory下对应的cgroup目录已经删除), 但在内核中没有释放cssid,导致内核认为的cgroup的数量实际数量不一致,残留的cgroup达到节点上限后,导致该节点无法继续新建Pod。 解决方法
布服务。 按比例发布:按访问灰度发布服务的请求比例。 按HTTP请求头 键:a 值:b 灰度转发策略配置 域名:实际访问的域名地址,不配置时可通过IP地址访问Ingress。请确保所填写的域名已注册并备案,一旦配置了域名规则后,必须使用域名访问。 开启灰度:开启灰度后,集群外部访问流量将按此规则转发至目标服务。
MaxNodeScore:节点最大得分,值为100。 haveLabel:节点上是否存在插件中配置的label,如果有,值为1,如果节点上没有,值为0。 前提条件 已创建v1.19.16及以上版本的集群,具体操作请参见购买Standard/Turbo集群。 集群中已安装1.11.
过ICAgent采集容器日志(不推荐)。 支持收集CCE集群控制平面组件日志和Kubernetes审计日志,将日志从CCE控制层采集到您账号的LTS日志服务的日志流中。具体操作,请参见采集控制面组件日志和采集Kubernetes审计日志。 支持收集CCE集群Kubernetes事
“IPv4网段”。 在左侧导航栏中选择“总览”,查看“网络信息”,单击“节点默认安全组”,跳转到安全组页面。 选择“入方向规则”,并根据源地址过滤容器子网网段,找到对应的安全组规则。 单击“删除”,删除关联的子网安全组规则。 父主题: 网络指导
见Dive。 建议删除所有设置了SETUID和SETGID权限的二进制文件,因为这些权限可能被恶意利用来提升权限。同时,考虑移除那些可能被用于恶意目的的Shell工具和应用程序,如nc和curl。您可以使用以下命令找到带有SETUID和SETGID位的文件: find / -perm
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
