检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
上方的“创建自定义策略”。 配置自定义策略参数。详情请参见创建自定义策略。 策略名称:设置为CCE Subscribe Operator。 策略配置方式:选择“JSON视图”。 策略内容:设置策略内容如下。 { "Version": "1.1", "Statement":
会同时存在于AOM中。 随着历史数据的老化,集群内的Prometheus将会与AOM中数据完全相同(例如:您的Prometheus存储时长设置为7天,7天以后AOM中的数据将会和集群内的Prometheus数据完全相同)。 编辑云原生监控插件,切换为无本地存储的轻量化模式,您可以
1及更早版本的环境中,攻击者通过运行一个恶意镜像,可能实现容器逃逸,从而获得主机系统的访问权限。成功利用此漏洞可能会导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 判断方法 如果集群未安装CCE AI套件(NVIDIA GPU)插件或插件版本低于2.0.0,则不涉及该漏洞。 CCE AI套件(NVIDIA G
重新调度,因此需要检查Pod对污点的容忍策略。 解决方案 通过查询Pod或者工作负载的yaml,查看容忍策略。一般情况下,工作负载的容忍度设置由以下字段组成: tolerations: - key: "key1" operator: "Equal" value: "value1"
CRI运行时,且使用了未知来源的恶意镜像。使用docker作为CRI时不涉及该漏洞。 containerd版本号小于1.4.1-96。 判断方法 在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于
参照表1设置命名空间参数。 表1 命名空间基本信息 参数 参数说明 名称 新建命名空间的名称,命名必须唯一。 描述 输入对命名空间的描述信息。 配额管理 资源配额可以限制命名空间下的资源使用,进而支持以命名空间为粒度的资源划分。 须知: 建议根据需要在命名空间中设置资源配额,避免因资源过载导致集群或节点异常。
为1时插件不具备高可用能力,当插件实例所在节点异常时可能导致插件功能无法正常使用,请谨慎选择。 设置插件实例的部署策略。 调度策略对于DaemonSet类型的插件实例不会生效。 设置多可用区部署或节点亲和策略时,需保证集群中存在满足调度策略的节点且拥有足够的资源,否则插件实例将无法运行。
登录CCE控制台,在左侧导航栏中选择“集群管理”,单击要创建节点的集群进入集群控制台。 在集群控制台左侧导航栏中选择“节点管理”,切换至“节点”页签,单击右侧“创建节点”,并设置节点参数。 在“高级配置”中,填写安装前/后执行脚本。 例如,您可以通过安装后执行脚本创建iptables规则,限制每分钟最多只能有25个
登录CCE控制台,在左侧导航栏中选择“集群管理”,单击要创建节点的集群进入集群控制台。 在集群控制台左侧导航栏中选择“节点管理”,切换至“节点”页签,单击右侧“创建节点”,并设置节点参数。 在“高级配置”中,填写安装前/后执行脚本。 例如,您可以通过安装后执行脚本创建iptables规则,限制每分钟最多只能有25个
1-98版本的containerd作为kuberentes CRI运行时。 2. CCE集群containerd版本低于1.5.11以下的集群。 判断方法 在node节点上使用root用户执行containerd --version查看containerd版本。 新Console上的“节点管理”处也可以查看运行时版本。
行,超过一定限度会出现日志转储,进而日志累积导致磁盘使用率过高。同时因为kubelet高负荷运行此时节点上容器创删等操作也会受影响。 解决方法 一般场景下,以8U16G节点、数据盘大小为100G为例,建议单容器的日志标准输出速率不超过512KB/s,节点上所有容器总体日志标准速率
够全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为。推荐启用HSS服务保护用户CCE集群下的主机。HSS服务以及使用方法请参考企业主机安全 HSS。 父主题: 安全
RedHat;Ubuntu:USN-5252-1、USN-5252-2;Debian、SUSE EulerOS已发布补丁,升级polkit rpm包即可。 升级方法如下 yum clean all yum makecache yum update polkit rpm -qa | grep polkit
略的优先级顺序(转发策略编号的数值越小,优先级越高)逐条匹配,一旦能够匹配到一条转发策略,立即按照当前转发策略进行转发。 转发策略的优先级设置规则如下: 配置高级转发策略前已有的转发策略会继承原有的优先级顺序。 配置高级转发策略后,每次新增的转发策略优先级排序最低(默认转发策略固
若进程运行状态正常,则根据实际运行需要,适当增大Pod的内存限制,建议Pod的内存实际使用量不超过内存限制值的80%。具体操作,请参见设置容器规格。 父主题: 工作负载异常问题排查
CVE-2021-25746 中 2022-4-16 漏洞影响 该漏洞主要影响以逻辑多租的方式使用CCE集群并且普通用户拥有创建Ingress对象的场景。 判断方法 1.23及以下版本的CCE集群、CCE Turbo集群中: 1. 客户自行安装nginx-ingress的场景,判断nginx-ingress应用的镜像版本是否小于1
28.0-r0 - v1.28.8-r2 v1.29.0-r0 - v1.29.4-r2 v1.30.0-r0 - v1.30.1-r2 判断方法 登录CCE控制台,单击集群名称进入集群总览页面,查看集群版本。 如果集群版本不在上述范围内则不受漏洞影响。 如果集群版本在受影响范围内,
过程中,不同的业务架构有着不同的部署方案,不同架构的应用有着不同的演进节奏,不同的团队有着性能和服务质量的平衡点。面对这样复杂的场景,应该如何化繁为简,帮助用户有步骤的提升资源利用率和控制成本呢? CCE通过多年在混合部署领域的探索和实践,围绕Volcano和Kubernetes
docker容器引擎的节点上运行,请使用containerd容器引擎。详细原因请参见组件说明。 设置插件实例的部署策略。 调度策略对于DaemonSet类型的插件实例不会生效。 设置多可用区部署或节点亲和策略时,需保证集群中存在满足调度策略的节点且拥有足够的资源,否则插件实例将无法运行。
annotation已被移除,如需要改为设置priorityClassName。 beta.kubernetes.io/os和beta.kubernetes.io/arch在1.14版本中已经废弃,计划在1.18版本中移除。 禁止通过--node-labels设置kubernetes.io和k8s
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
