检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Ingress配置GRPC协议的后端服务 为Nginx Ingress配置一致性哈希负载均衡 为Nginx Ingress配置应用流量镜像 为Nginx Ingress配置跨域访问 Nginx Ingress使用建议 高负载场景下NGINX Ingress控制器的性能调优 父主题: Nginx Ingress管理
nginx-ingress插件安全漏洞预警公告(CVE-2021-25748) 漏洞详情 Kubernetes开源社区中披露了1个ingress-nginx漏洞,用户通过Ingress 对象的“spec.rules[].http.paths[].path”字段可以获取ingress-controller
系统镜像版本说明。 在发布修复的OS镜像后,新建集群、节点默认修复该漏洞,存量节点可通过重置节点修复。若集群版本已经EOS,需先升级集群版本。 相关链接 https://nsfocusglobal.com/linux-kernel-privilege-escalation-vul
匿名请求的用户名为 system:anonymous, 用户组名为 system:unauthenticated 配置建议: 如涉及使用匿名(不携带身份凭证)访问的场景(如使用kubeadm过程中涉及部分查询操作),可以按需开启匿名访问 开启匿名访问的场景下请对匿名请求的用户名和分组
工作负载异常:实例拉取镜像失败 问题定位 当工作负载状态显示“实例未就绪:Back-off pulling image "xxxxx"”,该状态下工作负载实例K8s事件名称为“实例拉取镜像失败”或“重新拉取镜像失败”。查看K8s事件的方法请参见Pod事件查看方法。 排查思路 根据
v1.19 v1.21 修复GPU异常导致的调度器崩溃问题;修复特权Init容器准入失败问题 1.3.1 v1.15 v1.17 v1.19 升级Volcano框架到最新版本 支持Kubernetes v1.19版本 添加numa-aware插件 修复多队列场景下Deployment扩缩容的问题
约束与限制 一个安全组关联的实例数量建议不超过1000个,否则可能引起安全组性能下降。更多关于安全组的限制请参考安全组限制。 不支持指定Master节点的安全组,同时请谨慎修改集群Master节点的安全组规则,详情请参见集群安全组规则配置。 操作步骤 登录CCE控制台,在左侧导航栏中选择“集群管理”。
安全加固 集群节点如何不暴露到公网? 如何配置集群的访问策略 如何获取TLS密钥证书? 如何批量修改集群node节点安全组? 父主题: 网络管理
SFS为用户提供一个完全托管的共享文件存储,能够弹性伸缩至PB规模,具备高可用性和持久性,为海量数据、高带宽型应用提供有力支持。 符合标准文件协议:用户可以将文件系统挂载给服务器,像使用本地文件目录一样。 数据共享:多台服务器可挂载相同的文件系统,数据可以共享操作和访问。 私有网络:数据访问必须在数据中心内部网络中。
LEAST_CONNECTIONS:加权最少连接算法。 SOURCE_IP:源IP算法。 当该字段的取值为SOURCE_IP时,后端云服务器组绑定的后端云服务器的权重设置(weight字段)无效,且不支持开启会话保持。 会话保持类型 支持基于源IP地址的简单会话保持,即来自同一IP地址的访问请求转发到同一台后端服务器上。
se, 由OCI运行时配置sysctl。 创建PodSecurityPolicy,将所有sysctl指定为false。 及时升级CRI-O版本。 相关链接 Red Hat社区漏洞公告:https://access.redhat.com/security/cve/cve-2022-0811
CCE节点NTP时间不同步如何解决? 问题现象 节点上的ntpd在长时间无法连接ntpserver等特殊场景下,可能导致偏移量过大,无法自动恢复。 问题检测 CCE节点故障检测插件(npd)中已包含节点时间同步检查项,您可以在集群中安装该插件进行检测。详情请参见CCE节点故障检测。
(Everest)。 如果您需要通过命令行创建,需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。 约束与限制 云硬盘不支持跨可用区挂载,且不支持被多个工作负载、同一个工作负载的多个实例或多个任务使用。由于CCE集群各节点之间暂不支持共享盘的数据共享功能,多
规则。关于使用UDP协议健康检查的详细说明,请参见使用UDP协议有什么注意事项?。 操作步骤 登录CCE控制台,单击服务列表中的“网络 > 虚拟私有云 VPC”,在网络控制台单击“访问控制 > 安全组”。 在界面右侧的安全组列表中找到集群的安全组。单击“入方向规则”页签,单击“添加规则”,添加入方向规则如下。
配置完毕后,启动prometheus服务 ./prometheus --config.file=prometheus.yml 登录prometheus服务访问页面,查看监控信息。 父主题: 监控
网络规划 集群与虚拟私有云、子网的关系是怎样的? 如何查看虚拟私有云VPC的网段? 如何设置CCE集群中的VPC网段和子网网段? 如何设置CCE集群中的容器网段? 什么是云原生网络2.0网络模式,适用于什么场景? 什么是弹性网卡? 集群安全组规则配置 创建CCE Turbo集群时如何设置IPv6服务网段
漏洞修复方案 除了升级之外,当前没有直接可用的缓解措施。集群管理员应注意控制权限,防止非受信人员通过APIService接口部署和控制聚合API Server。 该漏洞已在v1.23.5-r0、v1.21.7-r0、v1.19.16-r4版本的CCE集群中修复。 相关链接 https://github
v1.19 v1.21 v1.23 支持Pod配置全域弹性公网IP 1.3.35 v1.17 v1.19 v1.21 v1.23 支持原地升级镜像 支持ReadinessGates 1.3.25 v1.17 v1.19 v1.21 v1.23 支持DownwardAPI Volume
> 2GiB 0 < 节点的最大实例数 <= 16 700 MiB 16 < 节点的最大实例数 <= 32 ( 700 + (节点的最大实例数 - 16)*18.75 )MiB 32 < 节点的最大实例数 <= 64 ( 1024 + (节点的最大实例数 - 32)*6.25 )MiB
使用TLS类型的密钥证书场景 登录CCE控制台,单击集群名称进入集群。 选择左侧导航栏的“配置与密钥”,在右侧选择“密钥”页签,找到Ingress使用的密钥,单击“更新”。 修改密钥中的证书文件,单击“确定”更新密钥配置。CCE会将该证书自动同步到ELB侧。 使用ELB服务中的证书场景 登录CCE控制台,单击集群名称进入集群。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
