检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
ServiceAccount Kubernetes中所有的访问,无论外部内部,都会通过API Server处理,访问Kubernetes资源前需要经过认证与授权。 Authentication:用于识别用户身份的认证,Kubernetes分外部服务账号和内部服务账号,采取不同的认
paths[].path”字段可以获取ingress-controller使用的credentials。这个credentials可以获取集群中所有namespace的secrets。该漏洞被收录为CVE-2021-25748。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间
arguments参数: binpack.weight:binpack插件本身在所有插件打分中的权重。 binpack.cpu:CPU资源在所有资源中的权重,默认是1。 binpack.memory:内存资源在所有资源中的权重,默认是1。 binpack.resources:Pod请求的其他自定义资源类型,例如nvidia
段IP地址浪费。 Pod无法直接利用EIP、安全组等能力。 应用场景 性能要求较高:由于没有额外的隧道封装,相比于容器隧道网络模式,VPC网络模型集群的容器网络性能接近于VPC网络性能,所以适用于对性能要求较高的业务场景,比如:AI计算、大数据计算等。 中小规模组网:由于VPC路
'3600' kubernetes.io/elb.cors-disabled String 该参数用于关闭所有跨域配置。取值如下: true:关闭所有跨域配置。YAML中的参数值不会被删除,但所有配置均不生效。 false:默认取值,跨域配置将根据用户设置生效。 kubernetes.io/elb
*,则可添加5443端口入方向规则的源地址为100.*.*.*。 除客户端IP外,端口还需保留对VPC网段、容器网段和托管网格控制面网段放通,以保证集群内部可访问API Server。 如果您需要使用CloudShell功能,请保留5443端口对198.19.0.0/16网段放通,否则将无法访问集群。
性引擎插件,插件版本要求1.13.8及以上。 Cluster Autoscaler工作原理 Cluster Autoscaler主要流程包括两部分: 扩容流程: Autoscaler会每隔10s检查一次所有未调度的Pod,根据用户设置的策略,选择出一个符合要求的节点池进行扩容。
和其他容器不受其影响。请输入用户ID,容器将以当前用户权限运行。 容器日志(可选):容器标准输出日志将默认上报至 AOM 服务,无需独立配置。您可以手动配置日志采集路径,详情请参见通过ICAgent采集容器日志(不推荐)。 如需要关闭当前负载的标准输出,您可在标签与注解中添加键为kubernetes
配置HTTP/2后,如果您在CCE控制台删除开启HTTP/2的高级配置或在YAML中删除对应的annotation,ELB侧的配置将会保留。 前提条件 已创建Kubernetes集群,且集群版本满足以下要求: v1.23集群:v1.23.13-r0及以上版本 v1.25集群:v1.25.8-r0及以上版本 v1
"true"),弹性公网IP就会随Pod自动创建并绑定至该Pod。 前提条件 您已创建一个CCE Turbo集群,且集群版本满足以下要求: 为Pod配置EIP场景 集群版本要求 EIP跟随Pod创建 v1.19集群:v1.19.16-r20及以上版本 v1.21集群:v1.21.10-r0及以上版本
节点管理 API 说明 创建节点 在指定集群下创建节点。 获取指定的节点 通过节点ID获取指定节点的详细信息。 获取集群下所有节点 通过集群ID获取指定集群下所有节点的详细信息。 更新指定的节点 更新指定的节点。 删除节点 删除指定的节点。 纳管节点 在指定集群下纳管节点。 重置节点
、漏洞原理分析、影响范围/版本/场景、解决方案以及参考信息等内容外,CCE不提供有关漏洞细节的其他信息。 此外,CCE为所有客户提供相同的信息,以平等地保护所有客户。CCE不会向个别客户提供事先通知。 最后,CCE不会针对产品中的漏洞开发或发布可利用的入侵代码(或“验证性代码”)。
自定义亲和策略:填写期望插件部署的节点标签实现更灵活的调度策略,若不填写将根据集群默认调度策略进行随机调度。 同时设置多条自定义亲和策略时,需要保证集群中存在同时满足所有亲和策略的节点,否则插件实例将无法运行。 容忍策略 容忍策略与节点的污点能力配合使用,允许(不强制)插件的 Deployment 实例调度
使用文件存储卷 应用运维管理 AOM 云容器引擎对接了AOM,AOM会采集容器日志存储中的“.log”等格式日志文件,转储到AOM中,方便您查看和检索;并且云容器引擎基于AOM进行资源监控,为您提供弹性伸缩能力。 容器日志 云审计服务 CTS 云审计服务提供云服务资源的操作记录,记录内容包
/var/log/ascend_seclog/operation.log 日志存在,查看驱动安装日志,可查找到驱动安装记录。 若 /var/log/ascend_seclog/operation.log 日志不存在,则可能是通过 npu_x86_latest.run或 npu_arm_latest
固定EIP。 固定EIP创建后,生命周期内(如过期时间未到/Pod还在使用中)不支持通过Pod修改EIP属性。 对Pod的EIP地址无明确要求的业务不建议配置固定EIP,因为配置了固定EIP的Pod,Pod重建的耗时会略微变长。 配置固定EIP 创建固定EIP的Pod时,填写EI
运行它。某些仓库是公开的,允许所有人从中拉取镜像,同时也有一些是私有的,仅部分人和机器可接入。 容器:Docker容器通常是一个Linux容器,它基于Docker镜像被创建。一个运行中的容器是一个运行在Docker主机上的进程,但它和主机,以及所有运行在主机上的其他进程都是隔离的
Sidecar注入之后的Bookinfo应用 所有的服务都和Envoy Sidecar集成在一起,被集成服务的所有出入流量都被Sidecar所劫持,这样就可以利用ASM为应用提供服务路由、遥测数据收集以及策略实施等功能。 准备工作 创建一个CCE集群。要求节点规格至少为4核8GB,此规格为部署Bookinfo应用所需的最小资源。
凭证可以获取集群中所有命名空间的密钥。 2. 漏洞CVE-2021-25746:用户有权限可以在创建/更新ingress时,利用‘.metadata.annotations’字段,获取到ingress-controller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。 表1
态码为301),您可以通过nginx.ingress.kubernetes.io/permanent-redirect注解进行配置。例如将所有内容永久重定向到www.example.com: nginx.ingress.kubernetes.io/permanent-redirect:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
