检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
验证,则会导致该服务容易受到攻击。例如,如果集群管理员运行监听了127.0.0.1:1234的TCP服务,由于这个bug,该服务将有可能被与该节点在同一局域网中的其他主机,或与该服务运行在同一节点上的容器所访问。如果端口1234上的服务不需要额外的认证(因为假设只有其他local
使用VPC和云专线实现容器与IDC之间的网络通信 使用场景 借助VPC和云专线,在VPC网络模型的集群中实现集群容器网段(172.56.0.0/16)与IDC网段(10.1.123.0/24)的相互通信。 图1 网络示意 表1 地址信息 网络 网段 用户侧IDC网络 10.1.123
持采集应用的自定义指标。您需要按照Prometheus规范在应用中提供自定义指标,并且暴露自定义指标的接口,然后在集群中使用该应用镜像部署工作负载,Prometheus会通过采集配置对这些指标进行采集。详情请参见使用云原生监控插件监控自定义指标。 对接AOM监控服务 AOM实例是
(可选)修改CoreDNS配置,让CoreDNS优先采用UDP协议与上游DNS服务器通信。 NodeLocal DNSCache采用TCP协议与CoreDNS进行通信,CoreDNS会根据请求来源使用的协议与上游DNS服务器进行通信。当使用了NodeLocal DNSCache
删除子网后如何删除安全组规则? 操作场景 在CCE Turbo集群中,v1.23.17-r0、v1.25.12-r0、v1.27.9-r0、v1.28.7-r0、v1.29.3-r0及以上版本的集群支持删除容器子网。 删除子网后,CCE默认生成的节点级的安全组不会自动清理待删除子网的安全组规则,需要手动清理。
方发布的一处Docker容器逃逸漏洞。containerd是一个支持Docker和常见Kubernetes配置的容器运行时管理组件,它处理与容器化有关的抽象,并提供API以管理容器的生命周期。在特定的条件下,可以通过访问containerd-shim API,来实现Docker容器逃逸。
集群管理最佳实践 本文将为您介绍与集群相关的最佳实践,包括集群规划、创建、管理和维护等方面,帮助您优化集群的性能、提高可靠性和安全性,从而更好地满足业务需求。 场景分类 相关最佳实践 创建集群实践 CCE集群选型建议 集群网络地址段规划实践 集群网络模型选择及各模型区别 通过CCE搭建IPv4/IPv6双栈集群
Admit)。满足以下两个条件时,Kubelet准入该Pod: 待启动Pod Request与运行的在线作业Request之和 < 节点Allocatable 待启动Pod Request与运行的在/离线作业Request之和 < 节点Allocatable + 节点超卖资源 支持超卖和混部分离
应用分配的优先使用的CPU并不会被独占,仍处于共享的CPU池中。因此在该Pod处于业务波谷时,节点上其他Pod可使用该部分CPU资源。 约束与限制 使用该特性,需同时满足以下条件: 集群版本为v1.23及以上。 节点操作系统为Huawei Cloud EulerOS 2.0。 CCE
com/kubernetes/kubernetes/issues/71411。 漏洞影响 集群使用了聚合API,只要kube-apiserver与聚合API server的网络直接连通,攻击者就可以利用这个漏洞向聚合API服务器发送任何API请求; 如果集群开启了匿名用户访问的权限,则
从Pod访问不同VPC下的其他服务时,不仅需确保节点子网与目标子网之间的连通性,还要需确保容器网段与目标子网之间的连通性。 创建集群VPC和目标VPC的对等连接后,需要建立目标子网与集群节点子网和容器网段之间的路由。 云原生网络2.0 在云原生网络2.0模型下,容器直接从集群VPC的网段
标识快速跟踪和多集群部署功能,实现多个集群之间同一应用部署问题。 图1 Argo CD工作流程 本文介绍在ArgoCD中对接CCE执行持续部署的过程,并通过一个具体的示例演示该过程。 准备工作 创建一个CCE集群,且需要给节点绑定一个EIP,用于安装Argo CD服务时下载镜像。
插件 插件概述 容器调度与弹性插件 云原生可观测性插件 云原生异构计算插件 容器网络插件 容器存储插件 容器安全插件 其他插件
且该节点已绑定弹性IP,用于部署WordPress从外部镜像仓库下载镜像。创建集群的方法,请参见快速创建Kubernetes集群。 准备工作 下载并配置kubectl连接集群。 登录CCE控制台,单击集群名称,在集群信息页面查看“连接信息 > kubectl ”,单击“配置”并按照指导配置kubectl。
RBAC能力进行增强,支持对接IAM用户/用户组进行授权和认证鉴权,但与IAM细粒度策略独立。 CCE的权限可以从使用的阶段分为两个阶段来看,第一个阶段是创建和管理集群的权限,也就是拥有创建/删除集群、节点等资源的权限。第二个阶段是使用集群Kubernetes资源(如工作负载、Service等)的权限。 图1 权限示例图
云上云下同架构平台,可灵活根据流量峰值实现资源在云上云下的弹性伸缩、平滑迁移和扩容。 计算与数据分离,能力共享 通过云容器引擎,用户可以实现敏感业务数据与一般业务数据的分离,可以实现开发环境和生产环境分离,可以实现特殊计算能力与一般业务的分离,并能够实现弹性扩展和集群的统一管理,达到云上云下资源和能力的共享。
安全组检查异常处理 检查项内容 检查Node节点安全组规则中,协议端口为ICMP:全部,源地址为Master节点安全组的规则是否被删除。 仅VPC网络模型的集群执行该检查项,非VPC网络模型的集群将跳过该检查项。 解决方案 请登录VPC控制台,前往“访问控制 > 安全组”,在搜索
Turbo集群的容器网络流量监控。 DaemonSet 支持的监控项 当前用户可通过创建MonitorPolicy的方式下发监控任务,当前用户可以通过API或登录工作节点kubectl apply的方式创建MonitorPolicy。一个MonitorPolicy代表着一个监控任务,提供selector
CCE Standard 集群下容器使用的网段,决定了集群下容器的数量上限。创建后不可修改。 手动设置网段:用户自定义容器使用的虚拟网段,不可与集群中其他资源使用的网段(节点子网、服务网段等)冲突。 自动设置网段: 系统随机分配一个不冲突的网段供用户使用,因后续不支持修改建议商用场景选择手动分配,确保网段符合用户诉求。
econfig文件配置,然后重新执行kubectl命令。 如果是在集群内节点上执行kubectl,请检查节点的安全组,是否放通Node节点与Master节点TCP/UDP互访,安全组的详细说明请参见集群安全组规则配置 父主题: API&kubectl
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
