检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
执行容器外的任意命令。攻击者可以利用目标Git仓库中的钩子(hooks)目录,实现容器逃逸并执行攻击命令。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2024-10220 高 2024-11-22 漏洞影响 受影响的集群版本如下:
表格中仅列举了可能存在访问不通的场景,其他不在表格中的场景即表示可以正常访问。 服务端发布服务类型 访问类型 客户端请求发起位置 容器隧道集群(IPVS) VPC集群(IPVS) 容器隧道集群(IPTABLES) VPC集群(IPTABLES) 节点访问类型Service 公网/私网 与服务Pod同节点 访问服务端所在节点IP+NodePort
求中原有的访问凭据转发请求至其它目标节点,攻击者可利用该漏洞提升权限。本文介绍该漏洞的影响范围、漏洞影响和防范措施。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 其它 CVE-2020-8559 中 2020-07-15 漏洞影响 由于kube-apiser
dBalancer )的服务才能通过节点IP+节点端口进行访问。 节点访问(NodePort)类型: 节点的访问端口就是节点对外发布的端口。 负载均衡(LoadBalancer )类型: 负载均衡的节点端口通过“编辑YAML”可以查看。 如下图所示: nodePort: 3063
nSet)部署工作负载。 为提供对外访问的工作负载配置Service,ELB Ingress支持的Service类型请参见ELB Ingress支持的Service类型。 Ingress路由到多个服务 您可以使用以下方式路由到多个服务。 通过控制台配置 通过kubectl命令行配置
单击在弹出的窗口中设置伸缩策略参数: 类型:可选择“指标触发”(参见表2)或“周期触发”(参见表3)。选择类型后,可设置不同的触发条件及动作。 是否启用:可选择启用或关闭该策略规则。 填写完成上述参数,单击“确定”,您可以在列表中查看添加的策略规则。 表2 指标触发类型规则 参数 参数说明 触发条件
集群版本 v1.23.8-r0、v1.25.3-r0及以上 操作系统 Huawei Cloud EulerOS 2.0操作系统 GPU类型 支持T4、V100类型的GPU 驱动版本 GPU虚拟化功能仅支持470.57.02、510.47.03、535.54.03版本的GPU驱动。 运行时
M临时访问密钥发生过期。 集群内工作负载新建或更新等涉及Pod启动,且需要对接存储卷挂载、负载均衡等功能。 修复方案 请您关注补丁版本发布记录,及时将集群升级至目标版本。已EOS集群版本请升级到在维版本进行修复。 目标集群版本: 1.21版本(于2024/04/30 00:00(北京时间)正式停止维护):v1
范围,否则除默认端口外的其他端口将无法被外部访问。 说明: 端口号小于20106会和系统组件的健康检查端口冲突,引发集群不可用;端口号高于32767会和操作系统的随机端口冲突,影响性能。 容器网段配置(VPC网络模型集群支持) 当创建集群时设置的容器网段太小,无法满足业务扩容需求
有针对性的解决异常事件。 登录CCE控制台,单击集群名称进入集群。 在左侧导航栏中单击“策略”,在“弹性伸缩策略”页签下,根据弹性伸缩策略类型选择HPA / CronHPA / CustomedHPA的页签。 您可以查看弹性伸缩策略的最新状态、规则、关联工作负载等信息。 您还可以
计算配置 节点类型 参数名 取值范围 默认值 是否允许修改 作用范围 type 无 无 允许 CCE Standard/CCE Turbo CCE Standard集群: 弹性云服务器-虚拟机:基于弹性云服务器部署容器服务。 弹性云服务器-物理机:基于擎天架构的服务器部署容器服务。
的plugin中各函数的实现。 关闭本次会话。 Volcano自定义资源 Pod组(PodGroup):Pod组是Volcano自定义资源类型,代表一组强关联Pod的集合,主要用于批处理工作负载场景,比如Tensorflow中的一组ps和worker。 队列(Queue):容纳一
自建IDC与CCE集群共享域名解析 通过负载均衡配置实现会话保持 不同场景下容器内获取客户端源IP 通过配置容器内核参数增大监听队列长度 为负载均衡类型的Service配置pass-through能力 从Pod访问集群外部网络 通过模板包部署Nginx Ingress Controller
服务器等候请求时发生超时。 客户端可以随时再次提交该请求而无需进行任何更改。 409 Conflict 服务器在完成请求时发生冲突。 返回该状态码,表明客户端尝试创建的资源已经存在,或者由于冲突请求的更新操作不能被完成。 410 Gone 客户端请求的资源已经不存在。 返回该状态码,表明请求的资源已被永久删除。
v1.25 v1.27 v1.28 v1.29 v1.30 Huawei Cloud EulerOS 2.0节点上的云硬盘类型PVC支持指定Fstype类型为xfs 2.4.72 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 适配CCE v1.30版本 2
不同域名间优先级互相独立,转发规则域名与URL同时存在时,优先按照域名进行匹配。 转发规则为URL时,匹配优先级如下:精确匹配 > 前缀匹配 > 正则匹配,匹配类型相同时URL长度越长,优先级越高。 表1 默认排序的转发策略示例 转发策略 设定值 转发策略排序 URL(精确匹配) /test1/test2/test3
olicy字段设置为Default,此时容器将使用Pod所在节点的域名解析配置,无法解析集群内部域名。 可选对象:即dnsConfig字段中的options参数。每个对象可以具有name属性(必需)和value属性(可选),填写完成后需单击“确认添加”。 timeout:超时时间
设置完成后,单击“下一步”并根据界面提示完成订单提交。 数据盘类型 更多操作指导请参见变更云硬盘类型。 登录ECS控制台。 单击目标云服务器名称,进入弹性云服务器详情页。 切换至“云硬盘”页签,单击待扩容云硬盘右侧的“磁盘变配”。 根据界面提示,设置“磁盘类型”。 设置完成后,单击“提交”。 修改云服务器的企业项目
工作负载网络访问可以分为如下几种场景。 从集群内部访问工作负载:创建ClusterIP类型的Service,通过Service访问工作负载。 从集群外部访问工作负载:从集群外部访问工作负载推荐使用Service(NodePort类型或LoadBalancer类型)或Ingress访问。 通过公网访问工作负载:需要
例如工作负载挂载某个可用区的云硬盘时只能调度到相同可用区的节点上。 节点特殊资源:部分Pod可能请求特殊的资源类型,例如GPU等资源,调度器只能将其调度到GPU类型的节点上。 节点健康状态:节点的健康状况和状态可能影响调度决策,不健康的节点可能不会调度新的Pod。 为什么Pod实际负载在节点上分布不均匀
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
