检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为负载均衡类型的Service配置HTTP/HTTPS头字段 HTTP头字段是指在超文本传输协议(HTTP)的请求和响应消息中的消息头部分。HTTP头部字段可以根据需要自定义,本文介绍可通过HTTP和HTTPS监听器支持的非标准头字段实现的功能特性。 配置HTTP/HTTPS头字
K8s组件内存资源限制检查异常处理 检查项内容 检查K8s组件例如etcd、kube-controller-manager等组件是否资源超出限制。 解决方案 方案一:适当减少K8s资源。 方案二:扩大集群规格,详情请参见变更集群规格。 父主题: 升级前检查异常问题排查
为负载均衡类型的Service配置服务器名称指示(SNI) SNI证书是一种扩展服务器证书,允许同一个IP地址和端口号下对外提供多个访问域名,可以根据客户端请求的不同域名来使用不同的安全证书,确保HTTPS通信的安全性。 在配置SNI时,用户需要添加绑定域名的证书,客户端会在发起
为负载均衡类型的Service修改自定义EIP 通过CCE自动创建的带有EIP的ELB,可以通过添加Service的annotation(kubernetes.io/elb.custom-eip-id)完成ELB的EIP的自定义配置。 前提条件 已创建Kubernetes集群,且集群版本满足以下要求:
象的名称) 在Kubernetes 1.28版本,KMSv1已弃用,以后只会接收安全更新。请改用KMSv2。在未来版本中,设置--feature-gates=KMSv1=true以使用已弃用的KMSv1功能。 在Kubernetes 1.28版本,移除了如下特性门禁:Delega
ha版本正式发布。该特性允许kube-proxy运行在NFTables模式,在该模式下,kube-proxy使用内核netfilters子系统的nftables API来配置数据包转发规则。更多使用细节请参考NFTables代理模式。 未使用容器镜像的垃圾收集(Alpha) 在Kubernetes1
为负载均衡类型的Service配置黑名单/白名单访问策略 使用负载均衡类型的服务时,您可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。 白名单:指定的IP允许访问,而其它IP不能访问。 黑名单:指定的IP不能访问,而其它IP允许访问。 配置黑名单/白名单访问策略后,
修复Docker操作系统命令注入漏洞公告(CVE-2019-5736) 漏洞详情 Docker、containerd或者其他基于runc的容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。
符合上述范围的CCE集群,且配置了聚合API Server的均受影响,尤其是将CCE集群在逻辑多租场景下使用风险较高。 判断方法 对于1.23及以下版本的CCE集群、CCE Turbo集群,使用web-terminal、cloudshell或者配置kubectl连接集群,运行以下命令,确认是否运行聚合API Server:
如果要开启该特性,需要给kubelet增加启动参数为--seccomp-default=true,这样会默认开启seccomp为RuntimeDefault,提升整个系统的安全。1.25集群将不再支持使用注解“seccomp.security.alpha.kubernetes.io/pod”和“container
类型资源时,需要先修改为ReadWriteOnce。 Velero对存储卷进行备份还原时不支持HostPath类型的存储卷,详情请参见文件系统备份限制。若您需备份该类型的存储卷,请参考无法备份HostPath类型存储卷将HostPath类型替换为Local类型。当备份任务中存在H
ader的转发策略,可通过不同的Header键值来确定转发的后端Service。 前提条件 已创建一个CCE Standard或CCE Turbo集群,且集群版本满足以下要求: v1.23集群:v1.23.16-r0及以上 v1.25集群:v1.25.11-r0及以上 v1.27集群:v1
集群状态检查 检查项内容 集群升级后,需要检查集群状态是否为“运行中”状态。 检查步骤 系统会自动为您检查集群状态是否正常,您可以根据诊断结果前往集群列表页面进行确认。 解决方案 当集群状态异常时,请联系技术支持人员。 父主题: 升级后验证
ha版本正式发布。该特性允许kube-proxy运行在NFTables模式,在该模式下,kube-proxy使用内核netfilters子系统的nftables API来配置数据包转发规则。更多使用细节请参考NFTables代理模式。 未使用容器镜像的垃圾收集(Alpha) 在Kubernetes1
在CCE Turbo集群中配置Pod延时启动参数 应用场景 CCE Turbo集群在某些特定场景下(例如跨VPC、专线互联),会出现对端Pod的路由规则生效慢的情况。在这种情况下,可以利用Pod延时启动的能力进行规避。 您也可以使用企业路由器连接对端VPC来解决该问题,详情请参见集群通过企业路由器连接对端VPC。
操作流程 操作步骤 步骤说明 费用说明 步骤一:开启对分布式云支持 在创建CCE Turbo集群时,您可以在高级配置中开启对分布式云(cloudpond)功能。开启此功能后,系统将创建Turbo分布式集群,该集群能够无缝整合并使用CloudPond边缘计算服务资源,实现中心云与边缘云资源的统一管理和调度。
现更难发现和阻止恶意的HTTP/2连接,并且可能需要添加额外的工具来处理这些情况。 这些攻击媒介允许远程攻击者消耗过多的系统资源。有些攻击足够高效,单个终端系统可能会对多台服务器造成严重破坏(服务器停机/核心进程崩溃/卡死)。其他攻击效率较低的情况则产生了一些更棘手的问题,只会使
您可以根据实际业务需求调整进程ID数量上限。 默认kernel.pid_max说明 CCE在2022年1月底将1.17及以上集群的节点公共操作系统EulerOS 2.5、CentOS 7.6、Ubuntu 18.04镜像kernel.pid_max默认值调整为4194304,满足如下两个条件节点的kernel
Pod:Kubernetes中的最小调度对象 介绍视频 容器组(Pod) 容器组(Pod)是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器(Container)、存储资源(Volume)、一个独立的网络IP以及管理控制容器运行方式的策略选项。 Pod使用主要分为两种方式:
火水电,AZ内逻辑上再将计算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 图1阐明了区域和可用区之间的关系: 图1 区域和可用区 目前,全球多个地域均已开放云服务,您可以根据需求选择适合自己的区域和可用区。更多信息请参见华为云全球站点。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
