检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
漏洞修复方案 在完成漏洞修复前,避免在集群中运行不可信的容器镜像。 CCE已发布新版本插件修复该漏洞,请关注CCE AI套件(NVIDIA GPU)版本发布记录。
解决方案 CoreDNS配置优化包含客户端优化及服务端优化。 在客户端,您可以通过优化域名解析请求来降低解析延迟,通过使用合适的容器镜像、节点DNS缓存NodeLocal DNSCache等方式来减少解析异常。
NUMA亲和性调度 云原生混部 云原生混部解决方案围绕Volcano和Kubernetes生态,帮助用户提升资源利用率,实现降本增效。
解决方案: 请前往“插件中心”页面查看已安装插件列表,单击云原生监控插件名称,展开实例列表,检查Prometheus的实例是否正常运行。如果未正常运行,请查询Pod的事件,获取异常信息。
解决方案 避免服务中断可以从Deployment和Service两类资源入手: Deployment可以采用滚动升级的升级方式,为对各个实例逐个进行更新,而不是同时对所有实例进行全部更新,可以控制Pod的更新速度和并发数,从而确保了升级过程中业务不中断。
漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。
漏洞修复方案 EulerOS 2.9 版本镜像已提供修复版本,请尽快迁移到4.18.0-147.5.1.6.h541.eulerosv2r9.x86_64版本节点。 为工作负载配置seccomp,限制unshare系统调用,详情请参考Kuberenetes社区文档。
访问异常原因 问题现象 解决方案 证书已过期 通过curl命令测试时报错信息如下: SSL certificate problem: certificate has expired 请及时替换新证书。
/containernetworking/plugins/pull/484)会受影响,以下kubelet版本都包含了受影响的CNI插件服务: kubelet v1.18.0~v1.18.3 kubelet v1.17.0~v1.17.6 kubelet<v1.16.11 漏洞修复方案
解决方案 在使用GPU/NPU节点时,可以为其添加污点,并通过工作负载容忍度设置,避免非GPU/NPU工作负载调度到GPU/NPU节点上。 GPU/NPU工作负载:添加指定污点的容忍度,可以调度至GPU/NPU节点。
使用CCE提供的nginx-ingress插件,判断插件版本号是否小于等于2.1.0 漏洞修复方案 1. 升级ingress-nginx版本至1.2.1; 2.
应用调度优化 在业务云原生化过程中,需要根据业务的部署方案、架构,寻找性能和服务质量的平衡点。可以根据您的业务场景,选择以下合适的调度方案帮助您提升资源利用率,以进行有效的成本控制。
漏洞消减方案 CCE已在云原生日志采集插件1.5.2版本中修复该漏洞,在修复前建议通过关闭指标上报接口消减该漏洞影响: 节点上执行以下命令: kubectl edit cm -n monitoring log-agent-fluent-bit-config-service 将配置项中
解决方案 查看模板Chart.yaml文件中的name和version字段。
使用CCE提供的nginx-ingress插件,判断插件版本号是否小于2.1.0 漏洞修复方案 1.
漏洞修复方案 对于集群内跨节点的攻击,建议您采取以下安全防范措施: 请妥善保管认证凭据。 授权子账号遵循权限最小化原则,通过设置RBAC权限,限制不必要的pods/exec、pods/attach、pods/portforward和proxy类型的资源访问。 父主题: 漏洞公告
漏洞修复方案 不使用未知来源的镜像,推荐使用容器镜像服务SWR。
解决方案 登录节点。
漏洞消减方案 CCE将发布新的NGINX Ingress控制器插件修复该漏洞,请留意NGINX Ingress控制器插件版本发布记录。在修复之前,请按最小权限原则,只给予受信用户创建及管理Ingress的权限。
解决方案 问题场景一: 错误信息为“you cce-agent no update, please restart it”。 该问题是由于cce-agent没有重启导致,需要登录节点手动重启cce-agent。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
