检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
eadless Service解决Pod间互相访问的问题。 apiVersion: v1 kind: Service # 对象类型为Service metadata: name: nginx-headless labels: app: nginx spec:
STANDARD # 桶类型,使用对象桶时支持标准(STANDARD)和低频(WARM)两种桶。 csi.storage.k8s.io/fstype: s3fs # 文件类型,obsfs表示并行文件系统;s3fs表示对象桶
云容器引擎的计费项由集群费用和其他云服务资源费用组成。了解每种计费项的计费因子、计费公式等信息,请参考计费项。 集群:控制节点资源费用,按照每个集群的类型(虚拟机或裸金属、控制节点数)、集群规模(最大支持的节点数)的差异收取不同的费用。 控制节点资源的价格目录请参见:云容器引擎价格目录。 其
core_pattern内核参数,在集群中的任何节点上以root身份实现容器逃逸和执行任意代码。 该问题已被收录为CVE-2022-0811。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2022-0811 高 2021-03-16 漏洞影响 该漏洞影响范围为使用了
storage: 10Gi 表1 关键参数说明 参数 描述 volume.beta.kubernetes.io/storage-class 云硬盘类型,小写。 failure-domain.beta.kubernetes.io/region 集群所在的region。 failure-domain
deschedulerPolicy配置参数 参数 说明 profiles.[].plugins.balance.enable.[] 指定集群重调度策略类型。 LoadAware:表示使用负载感知重调度策略。 profiles.[].pluginConfig.[].name 使用负载感知重调度策略时,会使用以下配置:
capability不为空,可能会造成在execve执行可执行文件时提升到允许的cap集合。该问题已被收录为CVE-2022-24769。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2022-24769 低 2022-3-24 漏洞影响 containerd创建容器时默认把
(VolumeClaimTemplate)”。 单击“创建存储卷声明 PVC”,在弹出窗口中填写卷声明模板参数。 参数填写完成后,单击“创建”。 参数 描述 存储卷声明类型 本文中选择“本地持久卷”。 PVC名称 输入PVC的名称。创建后将根据实例数自动增加后缀,格式为<自定义PVC名称>-<序号>,例如example-0。
利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2021-30465 高 2021-05-31 漏洞影响 当runc版本<=1
点端口,因此要注意放通节点安全组端口,否则会出现访问不通的情况。 另外由于占用主机端口,使用Deployment部署hostNetwork类型Pod时,要注意Pod的副本数不要超过节点数量,否则会导致一个节点上调度了多个Pod,Pod启动时端口冲突无法创建。例如上面例子中的ngi
Advertisement技术。路由器会定期向节点通告网络状态,包括路由记录。客户端会通过NDP进行自身网络配置。本文介绍该漏洞的影响。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 输入验证错误 CVE-2020-13401 中 2020-06-01 漏洞影响 对操作系统中启用了IPv6并且容器网络的CNI
对普通容器节点有效,安全容器节点无效。 包周期类型 包周期类型 参数名 取值范围 默认值 是否允许修改 作用范围 periodType month:月 year:年 无 允许 CCE Standard/CCE Turbo 包周期类型。作为请求参数,billingMode为1(包周期)时生效,且为必选。
NoSQL SQL Server PostgreSQL 时延敏感型场景,例如: Redis Memcache 关于专属存储性能的详细介绍,请以存储池类型及性能介绍为准。 使用场景 根据使用场景不同,专属存储支持以下挂载方式: 通过静态存储卷使用专属存储:即静态创建的方式,需要先使用已有的磁
使用主机命名空间。 hostNetwork hostPorts 使用主机网络和端口。 volumes 允许使用的挂载卷类型。 allowedHostPaths 允许hostPath类型挂载卷在主机上挂载的路径,通过pathPrefix字段声明允许挂载的主机路径前缀组。 allowedFlexVolumes
CPU权重 增大该权重值,优先提高集群CPU利用率。 1 内存权重 增大该权重值,优先提高集群Memory利用率。 1 自定义资源类型 指定Pod请求的其他自定义资源类型,例如nvidia.com/gpu。增大该权重值,优先提高指定资源的利用率。 - 图2 资源利用率优化调度 修改完成后,单击“确认配置”。
在CCE控制台,单击集群名称进入集群。 单击左侧导航栏的“工作负载”,在目标工作负载的操作列中单击“更多 > 弹性伸缩”。 图1 工作负载弹性伸缩 策略类型选择“HPA+CronHPA策略”,并启用HPA策略,填写HPA策略配置参数。 本文中仅介绍HPA策略,如需启用CronHPA策略,请参见创建CronHPA定时策略。
nSet)部署工作负载。 为提供对外访问的工作负载配置Service,ELB Ingress支持的Service类型请参见ELB Ingress支持的Service类型。 已准备可信的证书,您可以从证书提供商处获取证书。操作详情请参见购买SSL证书。 约束与限制 仅使用独享型EL
(Job)使用,主要面向高性能网站、日志存储、DevOps、企业办公等场景。 极速文件存储性能 关于极速文件存储的性能参数,请参考文件系统类型。 使用场景 极速文件存储支持以下挂载方式: 通过静态存储卷使用已有极速文件存储:即静态创建的方式,需要先使用已有的文件存储创建PV,然后通过PVC在工作负载中挂载存储。
ometheus-stack插件引起。 首次安装kube-prometheus-stack插件时,prometheus实例会延迟绑定云硬盘类型的存储卷(PVC名为pvc-prometheus-server-0),创建该云硬盘时可用区会自动与实例运行的节点所在可用区保持一致。例如实
容器使用subPath去挂载一些文件或者目录时,攻击者可能利用Symlink Exchange 访问除挂载目录之外的目录或者主机上的文件,造成越权。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 资源管理错误 CVE-2021-25741 中 2021-09-15 漏洞影响 该漏洞涉及Vol
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
