检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Apache Flink。 前提条件 已创建一个集群,且集群有可用节点,具体操作步骤请参见购买Standard/Turbo集群。 集群内节点已绑定弹性公网IP,且已配置kubectl命令行工具,具体请参见将弹性公网IP绑定至实例和通过kubectl连接集群。 步骤一:部署Flink集群
包年/包月是一种先付费再使用的计费模式,适用于对资源需求稳定且希望降低成本的用户。通过选择包年/包月的计费模式,您可以预先购买云服务资源并获得一定程度的价格优惠。本文将介绍从CCE控制台中购买包年/包月资源的计费规则。 适用场景 包年/包月计费模式需要用户预先支付一定时长的费用,适用于长期、稳定的业务需求
at应用和mongoDB共同部署在一个镜像中。这样,当其他企业需要部署或升级应用时,可直接通过镜像来部署或升级。 对接mongoDB:用于用户文件存储。 对接MySQL:用于存储第三方企业数据,MySQL使用外部云数据库。 本例应用容器化改造价值 本例应用原先使用虚机方式部署,在
/usr/local/bin/kubectl 挂载完成后,如图3所示。 图3 挂载主机到容器对应路径 在“安全设置”中配置“运行用户”为:0(即root用户)。 图4 配置运行用户 在“服务配置”中,设置访问方式。 Jenkins容器镜像有两个端口:8080和50000,需要分别配置。其中80
true/false true 允许 CCE Standard/CCE Turbo 配置建议: true 默认调度器 集群调度器选择开关,用户可自定义调度器模式。 kube-scheduler: K8S 默认调度器 volcano: Volcano 增强调度器。需要安装 volcano
通过较为缓和的改动,更容易接受。 弹性更灵活:将对弹性要求高的组件容器化,当需要扩展时,只针对该容器扩展,弹性更灵活,且能降低系统资源。 新特性上线更快:将更新频繁的组件容器化,只针对这个容器进行升级,上线更快。 需要对业务做部分解耦拆分。 方式三: 整体微服务架构改造,再容器化
Volcano更多信息请参见:https://github.com/volcano-sh/volcano。 Volcano在华为云的应用 Kubeflow和Volcano两个开源项目的结合充分简化和加速了Kubernetes上AI计算进程。当前已经成为越来越多用户的最佳选择,应用于生
存储。配置项(ConfigMap)是一种用于存储工作负载所需配置信息的资源类型,内容由用户决定。密钥(Secret)是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型,内容由用户决定。 云硬盘存储卷:CCE支持将EVS创建的云硬盘挂载到容器的某一路径下。当容器迁移时
云容器引擎可根据用户的业务需求预设策略自动调整计算资源,使云服务器或容器数量自动随业务负载增长而增加,随业务负载降低而减少,保证业务平稳健康运行,节省成本。 优势 自由灵活 支持多种策略配置,业务流量达到扩容指标,秒级触发容器扩容操作。 高可用 自动检测伸缩组中实例运行状况,启用新实例替换不健康实例,保证业务健康可用。
nginx-ingress插件安全漏洞预警公告(CVE-2021-25748) 漏洞详情 Kubernetes开源社区中披露了1个ingress-nginx漏洞,用户通过Ingress 对象的“spec.rules[].http.paths[].path”字段可以获取ingress-controller
表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2022-23648 中 2022-02-28 漏洞影响 用户在使用了恶意构造的镜像时,会导致容器内可获取主机上的任意文件的只读副本,从而泄露敏感信息。 该漏洞影响范围如下: 使用containerd作为Kubernetes
认证与授权。 Authentication:用于识别用户身份的认证,Kubernetes分外部服务账号和内部服务账号,采取不同的认证机制,具体请参见认证与ServiceAccount。 Authorization:用于控制用户对资源访问的授权,对访问的授权目前主要使用RBAC机制,将在RBAC介绍。
Turbo集群是全面基于云原生基础设施构建的云原生2.0的容器引擎服务,具备软硬协同、网络无损、安全可靠、调度智能的优势,为用户提供一站式、高性价比的全新容器服务体验。 详情请参见购买CCE集群。 父主题: 产品变更公告
Pod接口ExtendPathMode: PodUID如何与社区client-go兼容? 使用场景 社区Pod结构体中没有ExtendPathMode,用户使用client-go调用创建pod或deployment的API接口时,创建的pod中没有ExtendPathMode。为了与社区的cl
通过seccomp限制攻击者对宿主机内核的系统调用权限,具体请参见使用Seccomp限制容器的系统调用。 CCE新创建节点已经解决该漏洞。 您可以先创建新的节点,然后将老节点设置为不可调度,待老节点上应用都调度到新节点上后,删掉老节点或重置老节点。 相关链接 https://github
从Kubernetes 1.8开始,Kubernetes通过Metrics API提供资源使用指标,例如容器CPU和内存使用率。这些度量可以由用户直接访问(例如,通过使用kubectl top命令),或者由集群中的控制器(例如,Horizontal Pod Autoscaler)使用
展、易维护的最佳实践方式,方便用户在CCE节点上做一些自定义操作。 将安装前和安装后脚本存放在OBS中,在创建节点池的时候,安装前和安装后注入脚本直接拉取OBS对应脚本的地址并执行即可。对于CCE节点池这处的配置基本来就可以不用变化了,后期如果有新的需求只需要更新OBS的脚本内容即可。
CCE密钥管理(dew-provider)插件用于对接数据加密服务(Data Encryption Workshop, DEW)。该插件允许用户将存储在集群外部(即专门存储敏感信息的数据加密服务)的凭据挂载至业务Pod内,从而将敏感信息与集群环境解耦,有效避免程序硬编码或明文配置等问题导致的敏感信息泄密。
漏洞CVE-2021-25745:用户有权限可以在创建/更新ingress时,利用‘spec.rules[].http.paths[].path’字段,获取到ingress-controller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。 2. 漏洞CVE-2021-25746:用户有权限可以在创建/更新ingress时,利用‘
如果集群开启了匿名用户访问的权限,则匿名用户也利用这个漏洞。不幸的是Kubernetes默认允许匿名访问,即kube-apiserver的启动参数”-- anonymous-auth=true”;给予用户Pod的exec/attach/portforward的权限,用户也可以利用这个
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
