检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
serverGroupReference String 参数解释: 云服务器组ID,指定后将绑定云服务器组,节点池中所有节点将创建在该云服务器组下。绑定云服务器组后节点池中的节点数量不允许超出云服务器组可添加的云服务器数量,否则将导致节点池无法扩容。 说明: 绑定云服务器组后,云服务器将严格按照亲和策略分布,同时也会
容器占用大量资源影响宿主机和同节点其他容器的稳定性 如非必须,不建议将宿主机的敏感目录挂载到容器中,如/、/boot、/dev、/etc、/lib、/proc、/sys、/usr等目录 如非必须,不建议在容器中运行sshd进程 如非必须,不建议容器与宿主机共享网络命名空间 如非必须,不建议容器与宿主机共享进程命名空间
CCE支持ELB全端口类型监听器。 修复部分安全问题。 v1.29.3-r0 v1.29.3 支持RAM实现跨账号密钥共享。 自定义节点池支持迁移节点。 支持Flexus云服务器X实例。 节点池配置管理新增containerd默认镜像地址配置项。 CCE节点池列表页面支持自定义排序。 修复部分安全问题。
CCE从v1.23版本集群开始,将Ingress切换到networking.k8s.io/v1版本。 v1版本的参数相较v1beta1版本的参数有如下区别: ingress类型由annotations中kubernetes.io/ingress.class变为使用spec.ingressClassName字段。
请求获取当前区域下的云资源权限,从而更好地为您提供服务。服务权限包括: 计算类服务 CCE集群创建节点时会关联创建云服务器,因此需要获取访问弹性云服务器、裸金属服务器的权限。 存储类服务 CCE支持为集群下节点和容器挂载存储,因此需要获取访问云硬盘、弹性文件、对象存储等服务的权限。
控制器名称,默认nginx。 namespace 是 String 插件部署的命名空间,默认kube-system。 service 是 表8 对外访问service配置 config 否 Map<String>String nginx配置参数,参考社区说明https://kubernetes
否 String 参数解释: 云服务器组ID,指定后将绑定云服务器组,节点池中所有节点将创建在该云服务器组下。绑定云服务器组后节点池中的节点数量不允许超出云服务器组可添加的云服务器数量,否则将导致节点池无法扩容。 说明: 绑定云服务器组后,云服务器将严格按照亲和策略分布,同时也会
CVE-2020-8558 高 2020-07-08 漏洞影响 当攻击者拥有主机网络配置能力或运行在一个具备了CAP_NET_RAW能力的容器实例时,就可以获取在目标节点上监听了127.0.0.1的服务socket信息。如果在目标主机上存在127.0.0.1可以访问到且不需要任何认证鉴权的暴露服
存储卷的tmp文件夹中。不填写时默认为根路径。 权限 只读:只能读容器路径中的数据卷。 读写:可修改容器路径中的数据卷,容器迁移时新写入的数据不会随之迁移,会造成数据丢失。 本例中将该存储卷挂载到容器中/data路径下,在该路径下生成的容器数据会存储到文件存储中。 其余信息都配置完成后,单击“创建工作负载”。
也是该组PodGroup获取集群资源的划分依据。 作业(Volcano Job,简称vcjob):Volcano自定义的Job资源类型。区别于Kubernetes Job,vcjob提供了更多高级功能,如可指定调度器、支持最小运行Pod数、 支持task、支持生命周期管理、支持
参数解释: 集群下所有按需节点处理策略。 约束限制: 不涉及 取值范围: delete:删除服务器。 reset:保留服务器并重置服务器,数据不保留。 retain:保留服务器不重置服务器,数据保留。 默认取值: 说明: 不填此参数时,默认删除按需节点,保留纳管的节点。 periodic_node_policy
serverGroupReference String 参数解释: 云服务器组ID,指定后将绑定云服务器组,节点池中所有节点将创建在该云服务器组下。绑定云服务器组后节点池中的节点数量不允许超出云服务器组可添加的云服务器数量,否则将导致节点池无法扩容。 说明: 绑定云服务器组后,云服务器将严格按照亲和策略分布,同时也会
umount: <mount-path>: target is busy 问题根因 出现以上问题的原因是宿主机上有其他进程正在使用该设备。 解决方法 您需要登录到Pod所在宿主机上查找正在使用该设备的进程,并终止对应的进程。 登录Pod所在节点。 执行以下命令,找到对应挂载路径下的
Docker、containerd或者其他基于runc的容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。 华为云容器引擎已修复runc漏洞CVE-2019-5736。 表1 漏洞信息 漏洞类型
根据需求修改允许访问的源地址。例如,客户端需要访问API Server的IP为100.*.*.*,则可添加5443端口入方向规则的源地址为100.*.*.*。 除客户端IP外,端口还需保留对VPC网段、容器网段和托管网格控制面网段放通,以保证集群内部可访问API Server。 如果您需要使用CloudShell功能,请保留5443端口对198
存储卷的tmp文件夹中。不填写时默认为根路径。 权限 只读:只能读容器路径中的数据卷。 读写:可修改容器路径中的数据卷,容器迁移时新写入的数据不会随之迁移,会造成数据丢失。 本例中将该存储卷挂载到容器中/data路径下,在该路径下生成的容器数据会存储到本地持久存储中。 其余信息都配置完成后,单击“创建工作负载”。
节点时钟同步服务器检查异常处理 检查项内容 检查节点时钟同步服务器ntpd或chronyd是否运行正常。 解决方案 问题场景一:ntpd运行异常 请登录该节点,执行systemctl status ntpd命令查询ntpd服务运行状态。若回显状态异常,请执行systemctl restart
项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要调用接口来查询云服务器列表,那么这个IAM用户被授予的策略中必须包含允许“ecs:servers:list”的授权项,该接口才能调用成功。 IAM支持的授权项 策略包含系统策略和自定义策略
式启动,攻击者利用这个漏洞,通过在容器中创建特殊的字符设备文件后,能够获取宿主机上所有GPU设备的访问权限。 关于漏洞的详细信息,请参见CVE-2021-1056。 如果您的CCE集群中存在GPU(ECS)节点,并使用了CCE推荐的NVIDIA GPU驱动版本(Tesla 396
示。 Service:Service当前在无状态工作负载(Deployment)和有状态工作负载(StatefulSet)详情页的“访问方式”页签中显示。 此处的显示需要Service与工作负载有一定的关联: 工作负载中的一个标签必须是以"app"为key。 Service的标签和工作负载的标签保持一致。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
