检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
首次发布CCE v1.27集群,有关更多信息请参见Kubernetes 1.27版本说明。 节点池配置管理支持软驱逐和硬驱逐的设置。 支持为自动创建的EVS块存储添加TMS资源标签,以便于成本管理。 由于社区安全加固,v1.27及以上版本的集群中ClusterIP地址无法ping通。 - v1
池中的节点不支持修改该参数。 登录CCE控制台。 单击集群名称进入集群,在左侧选择“节点管理”,在右侧选择“节点池”页签。 单击节点池名称后的“更多 > 配置管理”。 在侧边栏滑出的“配置管理”窗口中,修改“容器引擎Docker/Containerd配置”的image-pull-
漏洞。 containerd版本号小于1.4.1-96。 判断方法 在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。 漏洞修复方案 使用可信的镜像,避免使
检查插件状态。详情请参见云原生监控插件。 云原生日志采集插件状态是否正常 否 云原生日志采集插件提供了集群中负载的日志采集、日志管理的能力,体验日志管理能力,帮助集群中服务问题快速定位定界。需前往插件市场,安装插件并检查插件状态。 CCE节点故障检测插件状态是否正常 否 CCE节
name}{"\n"}{end}' 若返回值非空,说明存在聚合API Server。 漏洞修复方案 除了升级之外,当前没有直接可用的缓解措施。集群管理员应注意控制权限,防止非受信人员通过APIService接口部署和控制聚合API Server。 该漏洞已在v1.23.5-r0、v1.21
在没有开启RBAC的集群,得到该token相当于是得到了整个CCE集群的控制权。在开启RBAC的集群,该token所拥有的权限,取决于环境管理员给这个服务账号关联了什么角色。该服务账号的token一般是给需要访问kube-apiserver的容器使用,如CoreDNS、autos
判断方法 在node节点上使用root用户执行containerd --version查看containerd版本。 新Console上的“节点管理”处也可以查看运行时版本。 漏洞修复方案 容器 entrypoint 使用 capsh工具去除自身的 Inheritable Capabilities。
11版本集群说明 Kubernetes版本(CCE增强版) 版本说明 v1.11.7-r2 主要特性: GPU支持V100类型 集群支持权限管理 v1.11.7-r0 主要特性: Kubernetes同步社区1.11.7版本 支持创建节点池(nodepool),虚拟机/鲲鹏ARM集群均支持
11版本集群说明 Kubernetes版本(CCE增强版) 版本说明 v1.11.7-r2 主要特性: GPU支持V100类型 集群支持权限管理 v1.11.7-r0 主要特性: Kubernetes同步社区1.11.7版本 支持创建节点池(nodepool),虚拟机/鲲鹏ARM集群均支持
排查项三:弹性云服务器能否登录 登录ECS控制台。 确认界面显示的节点名称与虚机内的节点名称是否一致,并且密码或者密钥能否登录。 图1 确认界面显示的名称 图2 确认虚机内的节点名称和能否登录 如果节点名称不一致,并且密码和密钥均不能登录,说明是ECS创建虚机时的cloudinit初
swr-cosign插件参数配置 参数 参数说明 KMS密钥 选择一个密钥,仅支持 EC_P256、EC_P384、SM2 类型的密钥。 您可以前往密钥管理服务新增密钥。 验签镜像 验签镜像地址通过正则表达式进行匹配,例如填写docker.io/**表示对docker.io镜像仓库的镜像进行验签。如需对所有镜像验签,请填写**。
用户通常使用无状态负载 Deployment、有状态负载 StatefulSet等Kubernetes对象来部署业务,每个工作负载管理一组Pod。以Deployment为例,示意图如下: 通常还会为每个工作负载创建对应的Service,Service使用selector来匹配后端Pod,其他服务
比如定义一个名为csi-disk-sas的StorageClass,这个StorageClass创建SAS类型的存储,则前后使用的差异如下图所示,编写YAML时只需要指定StorageClassName,符合特定用户的使用习惯。 对于第二个问题:可以定义与用户现有YAML中相同名
更多详情请参见TLS/HTTPS。 登录CCE控制台,进入集群,在左侧导航栏中选择“插件中心”,单击NGINX Ingress控制器下的“管理”。 单击对应控制器实例的“编辑”按钮。 在“nginx 配置参数”中添加以下配置。 { "ssl-ciphers": "@SECLEVEL=0
stack的管理地址(169.254.169.254),以防止容器获取宿主机的元数据。 修复方式参考ECS文档-元数据获取-使用须知。 该修复方案可能影响通过ECS Console修改密码,修复前须进行验证。 获取集群的网络模式和容器网段信息。 在CCE的“集群管理”界面查看集群的网络模式和容器网段。
CCE侧重置。 不建议修改,请自行恢复。 通过ELB的控制台修改CCE管理的ELB证书 在集群升级等需要重启控制节点的场景,后端服务器组中的后端服务器会被CCE侧重置。 通过Ingress的YAML来自动管理证书。 日志 表5 日志 高危操作 导致后果 误操作后解决方案 删除宿主
裸金属场景支持通过CM-v3接口创建节点 v1.9.7-r0 主要特性: 新建集群的Docker版本升级到1706 支持DNS级联 支持插件化管理 Kubernetes同步社区1.9.7版本 支持7层ingress的https功能 有状态工作负载支持迁移调度更新升级 v1.9.2-r3
裸金属场景支持通过CM-v3接口创建节点 v1.9.7-r0 主要特性: 新建集群的Docker版本升级到1706 支持DNS级联 支持插件化管理 Kubernetes同步社区1.9.7版本 支持7层ingress的https功能 有状态工作负载支持迁移调度更新升级 v1.9.2-r3
实施步骤 搭建Jenkins和Gitlab环境 配置集群环境 配置Gitlab项目 持续集成及持续部署 父主题: 使用Jenkins和Gitlab实现多集群隔离的DevOps流程
续费包括手动续费和自动续费两种方式,您可以根据需求选择。了解更多关于续费的信息,请参见续费概述。 费用账单 您可以在“费用中心 > 账单管理”查看与云容器引擎相关的流水和明细账单,以便了解您的消费情况。如需了解具体操作步骤,请参见费用账单。 欠费 在使用云服务时,账户的可用额度
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
