检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
IDIA GPU驱动程序中与设备隔离相关的安全漏洞。当容器以非特权模式启动,攻击者利用这个漏洞,通过在容器中创建特殊的字符设备文件后,能够获取宿主机上所有GPU设备的访问权限。 关于漏洞的详细信息,请参见CVE-2021-1056。 如果您的CCE集群中存在GPU(ECS)节点,并使用了CCE推荐的NVIDIA
tl命令呢? 使用kubectl命令无需经过IAM认证,因此理论上不配置集群管理(IAM)权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件(kubeconfig),以下场景认证文件传递过程中均存在安全泄露风险,应在实际使用中注意。 场景一
基于GPU监控指标的工作负载弹性伸缩配置 集群中包含GPU节点时,可通过GPU指标查看节点GPU资源的使用情况,例如GPU利用率、显存使用量等。在获取GPU监控指标后,用户可根据应用的GPU指标配置弹性伸缩策略,在业务波动时自适应调整应用的副本数量。 前提条件 目标集群已创建,且集群中包含GPU节点,并已运行GPU相关业务。
date; echo Hello restartPolicy: OnFailure 如果重新创建CronJob,也可以临时规避这个限制。 父主题: 其他
集群视角的成本可视化最佳实践 CCE集群安全配置建议 节点/节点池相关 制作CCE节点自定义镜像 创建节点时执行安装前/后脚本 创建节点时使用OBS桶实现自定义脚本注入 选择合适的节点数据盘大小 通过Core Dump文件定位容器问题 将节点容器引擎从Docker迁移到Containerd
谨慎调整VPC和虚拟机的DNS配置 CoreDNS启动时会默认从部署的实例上获取resolve.conf中的DNS配置,作为上游的解析服务器地址,并且在CoreDNS重启之前不会再重新加载节点上的resolve.conf配置。建议: 保持集群中各个节点的resolve.conf配
双线或者后期有冗余专线接入请选择BGP模式。 BGP邻居ASN BGP邻居自治系统的标识。 当路由模式为BGP时,需要设置此参数。 BGP MD5认证密码 BGP邻居的MD5值即BGP密码。 当路由模式为BGP时,可设置此参数,两侧网关参数需保持一致。 字符长度为8~255,至少包含以下字符的两种: 大写字母
/redis-benchmark -h <node_ip> -p 32293 -t set,get -n 2500000 -q 请将上述脚本中的<node_ip>替换成集群中节点的实际IP,另外32293端口则为上一步服务详情中查询到的节点端口。 通过以下命令,可以查询节点当前的超卖资源量并持续观察其变化。
daemon对pull/push的并发数进行了严格的限制,没法进行高并发同步。 一些功能只能经过HTTP api进行操作,单纯使用docker cli 没法做到,使脚本变得复杂。 使用image-migrator将镜像迁移至SWR 待迁移的镜像数量庞大 支持多对多镜像仓库同步。 支持基于Docker Registry
监控中心、告警中心在运行过程中需要访问SMN获取联系组信息,因此需要获得该权限。 CCE AOM Administrator 监控中心、告警中心在运行过程中需要访问AOM获取监控指标信息,因此需要获得该权限。 CCE LTS Administrator 监控中心、告警中心在运行过程中需要访问LTS获取日志信息,因此需要获得该权限。
SECRETS AGE default 1 30d 1.21以前版本的集群中,Pod中获取Token的形式是通过挂载ServiceAccount的Secret来获取Token,这种方式获得的Token是永久的。该方式在1.21及以上的版本中不再推荐使用,并且根据社区版本迭代策略,在1
HostNetwork.vpc 用户租户下存在的VPC ID 无 支持初始化时配置,不支持后续修改 CCE Standard/CCE Turbo 获取方法如下: 方法1:登录虚拟私有云服务的控制台界面,在虚拟私有云的详情页面查找VPC ID。 方法2:通过虚拟私有云服务的API接口查询。
解决方案二:为无IPv4私网IP地址的ELB绑定一个私网IP。步骤如下: 查找负载均衡类型的Service所关联的ELB。 方法一:通过升级前检查的日志信息中,获取对应的ELB ID。然后前往ELB控制台通过ELB ID进行筛选。 elbs (ids: [*****]) without ipv4 private
incident:表示比操作失败更严重的情况,例如引起其他故障等。 企业项目ID:输入企业项目ID。 访问密钥ID:输入访问密钥ID(包含临时访问凭证和永久访问密钥)。 时间范围:可选择查询最近1小时、最近1天、最近1周的操作事件,也可以自定义最近7天内任意时间段的操作事件。 您
漏洞级别 披露/发现时间 容器逃逸 CVE-2022-23648 中 2022-02-28 漏洞影响 用户在使用了恶意构造的镜像时,会导致容器内可获取主机上的任意文件的只读副本,从而泄露敏感信息。 该漏洞影响范围如下: 使用containerd作为Kubernetes CRI运行时,且使
状况,进而提供成本优化的依据。当前支持集群维度和命名空间维度两个视角的成本洞察。 前提条件 已开通成本洞察功能 约束与限制 由于实际账单的获取存在两天时间延迟,开通成本洞察后,成本洞察成本数据会延迟2天显示。 使用成本洞察期间,需要保证云原生监控插件运行正常,否则影响成本洞察中命
如您对这些文件的某些参数进行修改,有可能会导致集群升级失败或升级之后业务出现异常。如您确认该修改对业务无影响,可单击确认后继续进行升级操作。 CCE采用标准镜像的脚本进行节点配置一致性检查,如您使用其它自定义镜像有可能导致检查失败。 当前可预期的修改将不会进行拦截,可预期修改的参数列表如下: 表1 可预期修改的参数列表
(对应Kubernetes的EmptyDir),不填写时将分配主机的临时目录挂载到容器的挂载点,指定源路径的本地硬盘数据卷适用于将数据持久化存储到容器所在宿主机,EmptyDir(不填写源路径)适用于容器的临时存储。配置项(ConfigMap)是一种用于存储工作负载所需配置信息的
Dir临时存储等。容器引擎空间的剩余容量将会影响镜像下载和容器的启动及运行。 容器引擎和容器镜像空间(默认占90%):用于容器运行时工作目录、存储容器镜像数据以及镜像元数据。 Kubelet组件和EmptyDir临时存储(默认占10%):用于存储Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。
Dir临时存储等。容器引擎空间的剩余容量将会影响镜像下载和容器的启动及运行。 容器引擎和容器镜像空间(默认占90%):用于容器运行时工作目录、存储容器镜像数据以及镜像元数据。 Kubelet组件和EmptyDir临时存储(默认占10%):用于存储Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
