检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
漏洞消减方案 CCE已在云原生日志采集插件1.5.2版本中修复该漏洞,在修复前建议通过关闭指标上报接口消减该漏洞影响: 节点上执行以下命令: kubectl edit cm -n monitoring log-agent-fluent-bit-config-service 将配置项中
解决方案 查看模板Chart.yaml文件中的name和version字段。
访问异常原因 问题现象 解决方案 证书已过期 通过curl命令测试时报错信息如下: SSL certificate problem: certificate has expired 请及时替换新证书。
漏洞消减方案 对于存量的集群节点,请按以下方法进行修复: 针对Ubuntu操作系统,建议您将openssh升级到官方发布的修复版本(1:8.9p1-3ubuntu0.10),详情请参见官方链接。
漏洞处理方案 您可以禁用 kubelet 上的VolumeSubpath feature gate,并删除任何使用subPath功能的现有 Pod。 以root用户登录CCE Node节点。 修改kubelet配置参数,关闭VolumeSubpath特性。
解决方案 通过给集群使用的资源打上CCE-Cluster-ID标签,在成本中心通过标签过滤汇聚整个集群所使用资源的成本,以集群为单位进行成本分析,降本增效。 约束与限制 应用在资源上的标签,一般在创建并产生费用24小时后才会在“成本标签”页面展示。
解决方案 查看Pod的配置,确定Pod中容器的配置是否符合预期。具体操作,请参见Pod配置查看方法。 排查环境变量中的某一个Key是否存在拼写错误时,您可以参考以下方法。以command拼写成commnd为例,说明拼写问题排查方法。
通过部门的成本分析报告,企业管理人员可以识别成本增长趋势、部门成本对比,能制定更好的成本管理方案。 集群资源视角成本洞察:以成本运维人员的角度,着重呈现CCE集群内部从命名空间、应用、节点池等多个维度的集群成本开销和资源使用状况,进而识别可优化的应用。
下列版本的kubelet组件均在此CVE的影响范围内: kubelet v1.18.0~v1.18.5 kubelet v1.17.0~v1.17.8 kubelet<v1.16.13 漏洞修复方案 建议您采取以下安全防范措施: 通过设置集群Pod安全策略或admission准入机制强制
解决方案 通过kubectl对接集群,手动清理该插件release对应的secret及configmap。以下以清理autoscaler插件release为示例。 配置kubectl对接集群后,执行以下命令查看插件相关的release的secret列表。
解决方案 查看集群中插件遗留的存储卷对应的云硬盘可用区,并在集群中添加该可用区的节点。 登录CCE控制台,单击集群名称进入集群。
表1 节点池异常 节点池异常状态 说明 解决方案 错误 Error 节点池删除失败 重试删除节点池操作,如果节点池仍旧无法删除,请提交工单帮助删除错误节点池。 配额不足 QuotaInsufficient 用户配额不足导致节点池无法扩容 请提交工单申请扩大账号配额。
切流方案仅支持OBS、SFS Turbo等共享存储。非共享存储切流需要将老集群内的工作负载暂停,将会导致服务不可用。 创建工作负载 在新集群中创建工作负载,名称和规格参数保持不变,创建方法请参见创建无状态负载(Deployment)或创建有状态负载(StatefulSet)。
漏洞修复方案 建议您检查所有使用externalIP和loadBalancerIP的Service,确认是否有可疑的Service。
漏洞修复方案 受影响的用户请及时将sudo升级到安全版本,并在升级前做好自验: CentOS:更新到sudo 1.9.5p2及以上版本。 sudo版本下载请参见https://www.sudo.ws/download.html。 EulerOS:sudo补丁包获取链接。
kubelet /opt/cloud/cce/kubernetes/kubelet/kubelet_config.yaml allowedUnsafeSysctls v1.19以上 docker /etc/docker/daemon.json dm.basesize v1.19以上 解决方案
解决方案 不建议您变更节点池中节点的规格,您可以使用更新节点池功能为节点池添加其他规格的节点,然后等待业务调度至新节点后,将原节点缩容。 登录CCE控制台,进入集群,在左侧选择“节点管理”。 找到目标节点池,单击“更新”。
解决方案 登录CCE控制台,单击集群列表中的集群名称。 在左侧导航栏中选择“节点管理”。 切换至“节点”页签,选择集群中的节点,单击操作列中的“更多 > 重置节点”。 重置节点操作可能导致与节点有绑定关系的资源(本地存储,指定调度节点的负载等)无法正常使用。
开源现状 目前开源社区ipvlan L2E模式仍存在此问题,已向开源社区反馈,待确认更优方案。 解决方法 打印Dead loop问题本身无需解决。 但推荐服务Pod使用优雅退出,在业务真正终止服务前,优先将Pod设置为删除中的状态,待业务处理完毕请求后再退出。
Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11) Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5) Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3) 漏洞修复方案
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
