检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
解决方案 查看集群中插件遗留的存储卷对应的云硬盘可用区,并在集群中添加该可用区的节点。 登录CCE控制台,单击集群名称进入集群。
表1 节点池异常 节点池异常状态 说明 解决方案 错误 Error 节点池删除失败 重试删除节点池操作,如果节点池仍旧无法删除,请提交工单帮助删除错误节点池。 配额不足 QuotaInsufficient 用户配额不足导致节点池无法扩容 请提交工单申请扩大账号配额。
解决方案 查看Pod的配置,确定Pod中容器的配置是否符合预期。具体操作,请参见Pod配置查看方法。 排查环境变量中的某一个Key是否存在拼写错误时,您可以参考以下方法。以command拼写成commnd为例,说明拼写问题排查方法。
通过部门的成本分析报告,企业管理人员可以识别成本增长趋势、部门成本对比,能制定更好的成本管理方案。 集群资源视角成本洞察:以成本运维人员的角度,着重呈现CCE集群内部从命名空间、应用、节点池等多个维度的集群成本开销和资源使用状况,进而识别可优化的应用。
漏洞处理方案 您可以禁用 kubelet 上的VolumeSubpath feature gate,并删除任何使用subPath功能的现有 Pod。 以root用户登录CCE Node节点。 修改kubelet配置参数,关闭VolumeSubpath特性。
应用调度优化 在业务云原生化过程中,需要根据业务的部署方案、架构,寻找性能和服务质量的平衡点。可以根据您的业务场景,选择以下合适的调度方案帮助您提升资源利用率,以进行有效的成本控制。
下列版本的kubelet组件均在此CVE的影响范围内: kubelet v1.18.0~v1.18.5 kubelet v1.17.0~v1.17.8 kubelet<v1.16.13 漏洞修复方案 建议您采取以下安全防范措施: 通过设置集群Pod安全策略或admission准入机制强制
漏洞修复方案 建议您检查所有使用externalIP和loadBalancerIP的Service,确认是否有可疑的Service。
解决方案 登录节点。
使用CCE提供的nginx-ingress插件,判断插件版本号是否小于2.1.0 漏洞修复方案 1.
漏洞修复方案 对于集群内跨节点的攻击,建议您采取以下安全防范措施: 请妥善保管认证凭据。 授权子账号遵循权限最小化原则,通过设置RBAC权限,限制不必要的pods/exec、pods/attach、pods/portforward和proxy类型的资源访问。 父主题: 漏洞公告
漏洞修复方案 不使用未知来源的镜像,推荐使用容器镜像服务SWR。
解决方案 通过kubectl对接集群,手动清理该插件release对应的secret及configmap。以下以清理autoscaler插件release为示例。 配置kubectl对接集群后,执行以下命令查看插件相关的release的secret列表。
切流方案仅支持OBS、SFS Turbo等共享存储。非共享存储切流需要将老集群内的工作负载暂停,将会导致服务不可用。 创建工作负载 在新集群中创建工作负载,名称和规格参数保持不变,创建方法请参见创建无状态负载(Deployment)或创建有状态负载(StatefulSet)。
解决方案 不建议您变更节点池中节点的规格,您可以使用更新节点池功能为节点池添加其他规格的节点,然后等待业务调度至新节点后,将原节点缩容。 登录CCE控制台,进入集群,在左侧选择“节点管理”。 找到目标节点池,单击“更新”。
kubelet /opt/cloud/cce/kubernetes/kubelet/kubelet_config.yaml allowedUnsafeSysctls v1.19以上 docker /etc/docker/daemon.json dm.basesize v1.19以上 解决方案
漏洞修复方案 受影响的用户请及时将sudo升级到安全版本,并在升级前做好自验: CentOS:更新到sudo 1.9.5p2及以上版本。 sudo版本下载请参见https://www.sudo.ws/download.html。 EulerOS:sudo补丁包获取链接。
解决方案 如何确认是否共享磁盘 根据检查信息,登录相应节点。 执行lsblk命令,查看/mnt/paas挂载了vgpaas-share分区,若存在则是共享磁盘场景,若不存在,则是非共享磁盘场景。 图1 查询是否为共享磁盘 节点挂载检查异常如何解决 取消手动修改的挂载点。
漏洞消减方案 对于存量的集群节点,请按以下方法进行修复: 针对Ubuntu操作系统,建议您将openssh升级到官方发布的修复版本(1:8.9p1-3ubuntu0.10),详情请参见官方链接。
解决方案 当CCE 容器存储 (Everest)插件版本为2.3.11及以上时,插件提供number_of_reserved_disks参数,该参数可以设置节点上预留的挂盘数,预留出部分盘位供用户自定义挂载云硬盘使用。注意,修改该参数将对集群中所有节点生效。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
