检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
对于获取用户Token接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头 对应请求消息头,响应同样也有消息头,如“Content-type”。 对于获取用户Token接口,返回如图1所示的消息头,其中“x-subject-token”就是需要获取的用户Token
购买的集群可以转成按周期计费的集群。 按需集群转包年/包月 如果您在购买按需计费的集群后,想更换为包年/包月计费,可按如下步骤进行操作: 登录CCE控制台,在左侧导航栏中选择“集群管理”。 找到需要转包年/包月的集群,查看集群的更多操作,并单击“转包年包月”。 在转包年包月页面中
像(Image)无关。您依然可以使用Docker构建您的镜像。更多信息,请参见Dockershim Deprecation FAQ。 参考链接 关于Kubernetes 1.21与其他版本的性能对比和功能演进的更多信息,请参考: Kubernetes v1.21 Release Notes
true/false true 允许 CCE Standard/CCE Turbo 配置建议: true 默认调度器 集群调度器选择开关,用户可自定义调度器模式。 kube-scheduler: K8S 默认调度器 volcano: Volcano 增强调度器。需要安装 volcano
但在您使用集群前,还需要充分理解云容器引擎的安全责任边界,华为云无法限制您在服务托管范围外的行为,您需要为这部分的行为承担安全责任。详情请参见责任共担。 如何进行安全加固 登录CCE控制台。 在左侧导航栏中选择“集群管理”,单击要创建节点的集群进入集群控制台。 在集群控制台左侧导航栏中选择“节点管理”,切换至“节
io/client-go中的generated clients。 已从apiserver_request_total中删除“client”标签。 参考链接 关于Kubernetes 1.19与其他版本的性能对比和功能演进的更多信息,请参考: Kubernetes v1.19.0 Release
建议您在任何情况下设置CoreDNS副本数应至少为2,且副本数维持在一个合适的水位以承载整个集群的解析。CCE集群安装CoreDNS插件的默认实例数为2。 CoreDNS使用资源的规格与解析能力相关,修改CoreDNS副本数量、CPU/内存的大小会对影响解析性能,请经过评估后再做修改。
发布时间:2021/03/31 CCE Turbo集群是全面基于云原生基础设施构建的云原生2.0的容器引擎服务,具备软硬协同、网络无损、安全可靠、调度智能的优势,为用户提供一站式、高性价比的全新容器服务体验。 详情请参见购买CCE集群。 父主题: 产品变更公告
Pod接口ExtendPathMode: PodUID如何与社区client-go兼容? 使用场景 社区Pod结构体中没有ExtendPathMode,用户使用client-go调用创建pod或deployment的API接口时,创建的pod中没有ExtendPathMode。为了与社区的cl
nginx-ingress插件安全漏洞预警公告(CVE-2021-25748) 漏洞详情 Kubernetes开源社区中披露了1个ingress-nginx漏洞,用户通过Ingress 对象的“spec.rules[].http.paths[].path”字段可以获取ingress-controller
GPU/NPU工作负载:添加指定污点的容忍度,可以调度至GPU/NPU节点。 普通工作负载:未添加指定污点的容忍度,无法调度至GPU/NPU节点。 操作步骤如下: 登录CCE控制台,单击集群名称进入集群。 在左侧列表中选择“节点管理”,勾选GPU/NPU节点,并单击“标签与污点管理”。 单击“新增批量操作”,为GPU/NPU节点添加污点。
当前不支持使用csi-sfsturbo类型StorageClass直接创建PVC。如需使用SFS Turbo类型的存储,请提前创建SFS Turbo实例并通过静态存储卷的方式创建PV和PVC,详情请参见通过静态存储卷使用已有极速文件存储。 创建PVC并查看PVC和PV。 $ kubectl
如果设置为Always ,则每次容器启动或者重启时,都会从远程仓库拉取镜像。 如果省略imagePullPolicy,策略默认为Always。 如果设置为IfNotPreset,有下面两种情况: 当本地不存在所需的镜像时,会从远程仓库中拉取。 如果需要的镜像和本地镜像内容相同,只不过
漏洞CVE-2021-25745:用户有权限可以在创建/更新ingress时,利用‘spec.rules[].http.paths[].path’字段,获取到ingress-controller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。 2. 漏洞CVE-2021-25746:用户有权限可以在创建/更新ingress时,利用‘
时,容器运行时会因为容器镜像仍处于被引用的状态而拦截kubelet的删除行为,导致kubelet在定期回收镜像过程中出现失败。 解决方法 登录节点上执行以下命令,过滤出告警提示的容器,确认是否处于exited状态。其中{containerId}需要替换为告警中提到的容器ID。 节点使用docker运行时:
如何查看Pod是否使用CPU绑核? 以4U8G节点为例,并提前在集群中部署一个CPU request为1,limit为2的工作负载。 登录到节点池中的一个节点,查看/var/lib/kubelet/cpu_manager_state输出内容。 cat /var/lib/kubel
2024-09-26 漏洞影响 该漏洞主要影响运行 CUPS 打印系统的 Unix 设备,若同时启用了 cups-browsed 服务,可能面临被远程攻击的风险,从而危及用户设备的安全。 判断方法 您可以在节点上执行以下命令查看是否安装CUPS相关服务: systemctl status cups-browsed
NF_DROP 发出类似于 NF_ACCEPT 的丢弃错误时,nf_hook_slow() 函数会导致双重释放漏洞,本地攻击者利用此漏洞可将普通用户权限提升至 root 权限。 该漏洞是一个本地提权漏洞,需要攻击者先渗透到集群的node节点,利用难度较高。 判断方法 如果集群node节点OS是CentOS
样,所以创建出来的目录权限不相同。 umask值用于为用户新创建的文件和目录设置缺省权限。如果umask的值设置过小,会使群组用户或其他用户的权限过大,给系统带来安全威胁。因此设置所有用户默认的umask值为0077,即用户创建的目录默认权限为700,文件的默认权限为600。 可
CCE给租户提供的是一个专属的独享集群,由于节点、网络等资源当前没有严格的隔离,在集群同时被多个外部不可控用户使用时,如果安全防护措施不严,就会存在较大的安全隐患。比如开发流水线场景,当允许多用户使用时,不同用户的业务代码逻辑不可控,存在集群以及集群下的其它服务被攻击的风险。 启用企业主机安全服务(HSS)
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
