检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
容请参见负载均衡(LoadBalancer)。 Headless Service 前面讲的Service解决了Pod的内外部访问问题,允许客户端连接到Service关联的某个Pod。但还有下面这些问题没解决。 同时访问所有Pod 一个Service内部的Pod互相访问 为了解决以
满时,概率性出现以下异常: 在容器内创建文件或目录失败、容器内文件系统只读、节点被标记disk-pressure污点及节点不可用状态等。 用户可手动在节点上执行docker info查看当前thinpool空间使用及剩余量信息,从而定位该问题。如下图: 问题原理 docker d
样,所以创建出来的目录权限不相同。 umask值用于为用户新创建的文件和目录设置缺省权限。如果umask的值设置过小,会使群组用户或其他用户的权限过大,给系统带来安全威胁。因此设置所有用户默认的umask值为0077,即用户创建的目录默认权限为700,文件的默认权限为600。 可
19版本中存在一个安全漏洞,攻击者可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel.core_pattern内核参数,在集群中的任何节点上以root身份实现容器逃逸和执行任意代码。 该问题已被收录为CVE-2022-0811。
除上述可能原因外,还可能存在如下原因,请根据顺序排查。 排查项八:容器启动命令配置有误导致 排查项九:JAVA探针的版本选择latest导致 排查项十:用户自身业务BUG 在ARM架构的节点上创建工作负载时未使用正确的镜像版本,使用正确的镜像版本即可解决该问题。 图1 重新启动容器失败排查思路
基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用用户进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使
为了保证安全性,K8S 集群都必须通过 https 来访问。因此,需要在 Jenkins 上配置访问 K8S 集群的凭证。 获取K8S 集群客户端 kubeconfig 配置,可参考通过kubectl连接集群,获取kubectl配置文件。 登录Jenkins 页面,进入“Manage
检查项类型,取值如下 Exception: 异常类,需要用户解决 Risk:风险类,用户确认后可选择跳过 group String 检查项分组,取值如下 LimitCheck: 集群限制检查 MasterCheck:控制节点检查 NodeCheck:用户节点检查 AddonCheck:插件检查
跟踪和问题定位等常见应用场景。 用户开通云审计服务后,系统将开始记录CCE资源的操作,并为您保存最近7天的操作记录。CTS支持记录的CCE操作请参见云审计服务支持CCE操作列表。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CCE用户查看云审计日志方法,请参见云审计日志。
CCE给租户提供的是一个专属的独享集群,由于节点、网络等资源当前没有严格的隔离,在集群同时被多个外部不可控用户使用时,如果安全防护措施不严,就会存在较大的安全隐患。比如开发流水线场景,当允许多用户使用时,不同用户的业务代码逻辑不可控,存在集群以及集群下的其它服务被攻击的风险。 启用企业主机安全服务(HSS)
文介绍Kubernetes集群中CoreDNS配置优化的最佳实践,帮助您避免此类问题。 解决方案 CoreDNS配置优化包含客户端优化及服务端优化。 在客户端,您可以通过优化域名解析请求来降低解析延迟,通过使用合适的容器镜像、节点DNS缓存NodeLocal DNSCache等方式来减少解析异常。
Docker几乎支持在所有操作系统上安装,用户可以根据需要选择要安装的Docker版本。 容器镜像服务支持使用Docker 1.11.2及以上版本上传镜像。 安装Docker、构建镜像建议使用root用户进行操作,请提前获取待安装docker机器的root用户密码。 以root用户登录待安装Docker的机器。
0到1.9.5p1的所有稳定版本。成功利用此漏洞,任何没有特权的用户都可以在易受攻击的主机上获得root特权。 sudo是一个功能强大的实用程序,大多数基于Unix和Linux的操作系统都包含sudo。它允许用户使用其他用户的安全特权运行程序。 表1 漏洞信息 漏洞类型 CVE-ID
检查项类型,取值如下 Exception: 异常类,需要用户解决 Risk:风险类,用户确认后可选择跳过 group String 检查项分组,取值如下 LimitCheck: 集群限制检查 MasterCheck:控制节点检查 NodeCheck:用户节点检查 AddonCheck:插件检查
图1 IPv4/IPv6双栈集群示意图 使用场景 如果您的应用需要为使用IPv6终端的用户提供访问服务,则您可使用:IPv6弹性公网IP或IPv6双栈。 如果您的应用既需要为使用IPv6终端的用户提供访问服务,又需要对这些访问来源进行数据分析处理,则您必须使用IPv6双栈。 如果您
限。创建后不可修改。 手动设置网段:用户自定义容器使用的虚拟网段,不可与集群中其他资源使用的网段(节点子网、服务网段等)冲突。 自动设置网段: 系统随机分配一个不冲突的网段供用户使用,因后续不支持修改建议商用场景选择手动分配,确保网段符合用户诉求。 容器网络网段列表 集群下容器所使用的网段列表
负载均衡器配置:监听器配置 客户端连接空闲超时时间 客户端连接空闲超时时间,在超过keepalive_timeout时长一直没有请求, 负载均衡会暂时中断当前连接,直到下一次请求时重新建立新的连接。 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation:
使用Prometheus监控多个集群 应用场景 通常情况下,用户的集群数量不止一个,例如生产集群、测试集群、开发集群等。如果在每个集群安装Prometheus监控集群里的业务各项指标的话,很大程度上提高了维护成本和资源成本,同时数据也不方便汇聚到一块查看,这时候可以通过部署一套P
如何退订我的云容器引擎? 客户购买包周期资源后,支持客户退订包周期实例。退订资源实例包括资源续费部分和当前正在使用的部分,退订后资源将无法使用。退订资源实例需收取手续费。 注意事项 退订该实例是指退订续费部分和当前正在使用的部分,资源退订后将无法使用。 解决方案组合产品只支持整体退订。
n-seconds 无强校验 300 允许 CCE Standard/CCE Turbo 该配置为默认容忍时间配置,默认对所有的容器生效,用户也可以为指定pod进行差异化容忍配置,此时将以Pod配置的容忍时长为准。 配置建议: 无特殊需求建议保持默认配置,容忍时间配置过小可能导致
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
