检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Pod安全性标准定义了三种安全性策略级别: 表1 Pod安全性策略级别 策略级别(level) 描述 privileged 不受限制,通常适用于特权较高、受信任的用户所管理的系统级或基础设施级负载,例如CNI、存储驱动等。 baseline 限制较弱但防止已知的特权提升(Privilege Escalatio
弹性公网IP的计费模式变更规则如下,具体变更方式可参考图1。 包年/包月EIP支持到期后转为按需、按带宽计费EIP。 按需、按带宽计费EIP支持转为包年/包月EIP。 按需、按带宽计费EIP支持和按需、按流量计费EIP互转。 图1 EIP计费模式变更 父主题: 变更计费模式
您可以使用nvidia-smi命令查看的节点上驱动信息,确定Nvidia驱动与CUDA Toolkit版本的配套关系,如下图,驱动版本为470.141.03, 对应支持的CUDA Toolkit最大版本为11.4。 图1 Nvidia驱动与CUDA Toolkit版本的配套关系 CUDA Toolkit和驱动的版本兼容性列表
cceaddon-{插件名称}.v*"格式,可能有多个版本,删除时多个版本同时删除。 执行删除release secret命令。 如删除上图中的autoscaler插件对应的release secret kubectl delete secret sh.helm.release.v1
API API URL说明 集群管理 节点管理 节点池管理 存储管理 插件管理 集群升级 配额管理 API版本信息 标签管理 配置管理 模板管理 插件实例字段说明
IP等特性。由于不需要使用容器隧道封装和NAT地址转换,云原生网络2.0模型与容器隧道网络模型和VPC网络模型相比具有比较高的网络性能。 图1 云原生网络2.0 在云原生网络2.0模型的集群中,Pod依赖弹性网卡/辅助弹性网卡对外进行网络通信: 裸金属节点上运行的Pod使用ENI网卡。
开通自动续费后,节点会在每次到期前自动续费,避免因忘记手动续费而导致资源被自动删除。 在包年/包月资源生命周期的不同阶段,您可以根据需要选择一种方式进行续费,具体如图1所示。 图1 包年/包月资源生命周期 包年/包月资源从购买到到期前,处于正常运行阶段,资源状态为“运行中”。 到期后,资源状态变为“已过期”。
络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系: 图1 区域和可用区 目前,全球多个地域均已开放云服务,您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。
计费项 使用云容器引擎服务时,产生的总费用由集群费用和其他云服务资源费用组成。 CCE Standard和Turbo集群计费项 图1 计费项 标 * 的计费项为必选计费项。 表1 使用CCE Standard和Turbo集群的费用组成 计费项 计费项说明 适用的计费模式 计费公式
问题场景一:该节点为集群升级过程中跳过的节点。 配置Kubectl命令,具体请参见通过kubectl连接集群。 查看对应节点kubelet版本,以下为正常回显: 图1 kubelet版本 若该节点的VERSION与其他节点不同,则该节点为升级过程中跳过的节点,请在合适的时间重置节点后,重试检查。 重置节
检查插件是否支持目标版本 解决方案 问题场景一:插件状态异常 请登录CCE控制台,单击集群名称进入集群控制台,前往“插件中心”处查看并处理处于异常状态的插件。 图1 查看插件状态 问题场景二:集群升级的目标版本已经不支持该插件 升级前检查出现以下报错: addon [***] does not support
项中选择“私有镜像”。 单击“查看CCE基础镜像信息”,即可复制操作系统的镜像ID。 不同区域的镜像ID存在区别,切换区域后请重新获取。 图1 获取镜像ID 制作镜像 下载cce-image-builder 登录ECS执行机,下载cce-image-builder并解压。 wget
CVE-2021-1056 中 2021-01-07 漏洞影响 按照NVIDIA官方给出的漏洞公告信息,目前受影响的NVIDIA GPU驱动版本如下图所示: 更多信息,请参见NVIDIA官网。 影响说明: 云容器引擎CCE集群和gpu-beta插件推荐安装的NVIDIA GPU驱动,尚未出
etes集群。 操作步骤 登录CCE控制台,单击集群名称进入集群。 查看集群“概览”页,在右边“连接信息”下证书认证一栏,单击“下载”。 图1 获取证书 在弹出的“证书获取”窗口中,根据系统提示选择证书的过期时间并下载集群X509证书。 下载的证书包含client.key、client
1-r10,同时集群中工作负载配置或容器镜像具备如下特征时,可能存在风险: 工作负载中容器进程的WORKDIR为 /proc/self/fd/<num>。 图1 有安全风险的工作负载配置示例 工作负载的容器镜像中默认WORKDIR或启动命令包含 /proc/self/fd/<num>。 可通过以下命令查看容器镜像元数据:
ceAccount。 Authorization:用于控制用户对资源访问的授权,对访问的授权目前主要使用RBAC机制,将在RBAC介绍。 图1 API Server的认证授权 认证与ServiceAccount Kubernetes的用户分为服务账户(ServiceAccount)和普通账户两种类型。
执行以下命令检查当前节点是否存在该问题: auditctl -l | grep "/var/lib/docker -p rwxa -k docker" 如果有类似下图的回显,则说明存在该问题,需要进行修复,如果无回显则说明节点不受此问题影响。 解决方法 以root用户登录node节点。 执行如下命令: sed
云原生监控 插件介绍 云原生监控插件(kube-prometheus-stack)通过使用Prometheus-operator和Prometheus,提供简单易用的端到端Kubernetes集群监控能力。 使用kube-prometheus-stack可将监控数据与监控中心对接
ler)+ HPA(Horizontal Pod Autoscaling) 集群节点弹性:CA(Cluster AutoScaling) 图1 弹性伸缩场景 父主题: 应用场景
集群 集群概述 集群版本发布说明 购买集群 连接集群 管理集群 升级集群 集群管理最佳实践
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
