检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
2024-10-15 漏洞影响 使用Kubernetes Image Builder构建的镜像启用了默认SSH用户名密码(builder用户),可能允许攻击者获得对虚拟机(VM)的root访问权限。CCE节点镜像不使用Kubernetes Image Builder构建,不受该漏洞的影响。 判断方法
default-token-xxxxx Kubernetes为每个命名空间默认创建一个名为default的ServiceAccount,default-token-xxxxx为这个ServiceAccount的密钥,xxxxx是随机数。 在1.25及以上版本的集群中,ServiceAccount将不
取值范围 默认值 是否允许修改 作用范围 devmapper-base-size 大于等于0 0 支持初始化时配置,不支持后续修改 CCE Standard/CCE Turbo 当前仅devicemapper场景支持限制,overlayfs不支持 配置建议: 特殊场景诉求配置,通常默认值即可
修复Kubernetes Dashboard安全漏洞公告(CVE-2018-18264) 漏洞详情 Kubernetes社区发现Kubernetes Dashboard安全漏洞CVE-2018-18264:使用Kubernetes Dashboard v1.10及以前的版本有跳过
源,如metrics-server、prometheus插件。 APIService使用介绍请参考:https://kubernetes.io/docs/concepts/extend-kubernetes/api-extension/apiserver-aggregation/
取值范围 默认值 是否允许修改 作用范围 type ClusterIP/Nodeport/Loadbalancer/ExternalName ClusterIP 允许 CCE Standard/CCE Turbo ClusterIP:通过集群的内部 IP 暴露服务,选择该值时服务只能够在集群内部访问。
表示JuiceFS中的子目录,即用户在JuiceFS文件系统中存储数据的目录,以“juicefs://”开头,如“juicefs:///demo”为JuiceFS文件系统的“/demo”子目录,“juicefs:///”则表示JuiceFS文件系统的根目录。 encryptOptions -
自定义资源版本 参数名 取值范围 默认值 是否允许修改 作用范围 apiVersion 无 无 允许 CCE Standard/CCE Turbo 自定义资源是kubernetes 1.17新增的无需改变代码就可以扩展 Kubernetes API 的机制,用来管理自定义对象。 自定义资源类型
failure-domain.beta.kubernetes.io/region: cn-north-4 failure-domain.beta.kubernetes.io/zone: cn-north-4b spec: containers: - name:
实施步骤 整体应用容器化改造 改造流程 分析应用 准备应用运行环境 编写开机运行脚本 编写Dockerfile文件 制作并上传镜像 创建容器工作负载 父主题: 企业管理应用容器化改造(ERP)
使用velero将K8s集群迁移到CCE K8s集群迁移方案概述 目标集群资源规划 实施步骤 父主题: 集群备份和迁移
就会一直失败导致陷入重启的死循环。 另外检查只能限制在应用内部,不能检查依赖外部的部分,例如当前端web server不能连接数据库时,这个就不能看成web server不健康。 Liveness Probe必须轻量 Liveness Probe不能占用过多的资源,且不能占用过长
改造流程 整体应用容器化改造时,需要执行完整的改造流程。 容器化改造流程包括:分析应用、准备应用运行环境、编写开机脚本、编写Dockerfile、制作并上传镜像、创建容器工作负载。 改造流程每一部分的详情可参考改造流程。 图1 容器化改造流程 父主题: 实施步骤
通。 通过ER连接对端VPC,可以解决不同VPC下的集群创建容器之后短期内无法和对端VPC虚拟机互通的问题。在CCE Turbo集群中,您还可以使用延迟启动Pod的方案解决该问题,详情请参见在CCE Turbo集群中配置Pod延时启动参数。 规划组网 在VPC通过ER连接之前,需
分类 相关文档 Kubernetes生态相关 CCE集群命名空间级别子账号权限配置 使用Terraform部署华为云和Kubernetes资源 从零开始实现k8s_admission_webhook Kubernetes webhook原理介绍及执行演示 Kubernetes探针原理、效果以及配置建议
Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110) Docker是一个开源的应用容器引擎,Docker Engine是Docker可移植的容器运行时,而Docker的AuthZ插件可用于控制和限制对Docker守护进程的API请求。 漏洞详情
如何制作Docker镜像?如何解决拉取镜像慢的问题? Docker镜像制作 关于如何通过Dockerfile定制一个简单的Web应用程序的Docker镜像,请参见Docker基础知识或如何制作Docker镜像? 拉取镜像加速 由于运营商网络问题可能导致公共镜像仓库中的镜像拉取速度
object 上次集群升级信息 versionInfo UpgradeVersionInfo object 版本信息 upgradeFeatureGates UpgradeFeatureGates object 集群升级特性开关 表5 UpgradeVersionInfo 参数 参数类型
(NetworkAttachmentDefinition)中的安全组。 约束与限制 v1.19及以上的CCE Turbo集群支持此功能,v1.19以下版本CCE Turbo集群需要升级到v1.19及以上版本后才能启用此功能。 1个工作负载最多可绑定5个安全组。 创建安全组策略 通过控制台创建
创建或升级模板失败,提示rendered manifests contain a resource that already exists 问题现象 创建或升级模板失败,提示“Create release by helm failed: rendered manifests contain
