检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
(NetworkAttachmentDefinition)中的安全组。 约束与限制 v1.19及以上的CCE Turbo集群支持此功能,v1.19以下版本CCE Turbo集群需要升级到v1.19及以上版本后才能启用此功能。 1个工作负载最多可绑定5个安全组。 通过界面创建 登录CCE控制台,单击集群名称,进入集群。
CoreDNS开源社区地址:https://github.com/coredns/coredns 前提条件 已创建一个CCE集群,具体操作步骤请参见购买Standard/Turbo集群。 已通过kubectl连接集群,详情请参见通过kubectl连接集群。 安装CoreDNS插件(推荐安装CoreDNS最新版本),详情请参见CoreDNS。
符合上述范围的CCE集群,且配置了聚合API Server的均受影响,尤其是将CCE集群在逻辑多租场景下使用风险较高。 判断方法 对于1.23及以下版本的CCE集群、CCE Turbo集群,使用web-terminal、cloudshell或者配置kubectl连接集群,运行以下命令,确认是否运行聚合API Server:
达式 v1.11.3-r0 主要特性: Kubernetes同步社区1.11.3版本 集群控制节点支持多可用区 容器存储支持对接SFS Turbo极速文件存储 参考链接 社区v1.9与v1.11版本之间的CHANGELOG v1.10到v1.11的变化: https://github
docker作为CRI时不涉及该漏洞。 containerd版本号小于1.4.1-96。 判断方法 在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。 漏洞修复方案
达式 v1.11.3-r0 主要特性: Kubernetes同步社区1.11.3版本 集群控制节点支持多可用区 容器存储支持对接SFS Turbo极速文件存储 参考链接 社区v1.9与v1.11版本之间的CHANGELOG v1.10到v1.11的变化: https://github
单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。 双向认证:双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端C
是,这个越权并没有突破 execve 前的进程权限,仅仅是继承之前的 capabilities。 该漏洞的影响范围如下: 1. CCE Turbo集群,使用了低于1.4.1-98版本的containerd作为kuberentes CRI运行时。 2. CCE集群containerd版本低于1
none:默认策略,显式地启用现有的默认CPU亲和方案,不提供操作系统调度器默认行为之外的亲和性策略。 static:针对CPU申请值设置为整数的Guaranteed Pods ,它允许该类Pod中的容器访问节点上的独占CPU资源(绑核)。 约束与限制 CCE Turbo集群的弹性云服务器-物理机节点不支持使用CPU管理策略。
等于2.4.41)支持使用量监控。 极速文件存储类型的PVC支持使用量监控(包括子目录场景,但子目录PVC采集到的使用量和容量与SFS Turbo实例的使用量和容量一致)。 挂载到普通容器的PVC支持采集使用量及inodes数据,挂载至安全容器PVC不支持。 指标说明 PVC视图暴露的指标如下:
的credentials,进而可以获取集群中所有namespace的secrets。 判断方法 1.23及以下版本的CCE集群、CCE Turbo集群中: 1. 客户自行安装nginx-ingress的场景,判断nginx-ingress应用的镜像版本是否小于1.2.1 2. 使
VPC位于不同账户下时,选择该项。 当前账户 对端项目 当账户选择“当前账户”时,系统默认填充对应的项目,无需您额外操作。 比如VPC-A和VPC-B均为账户A下的资源,并且位于区域A,那么此处系统默认显示账户A下,区域A对应的项目。 - 对端VPC 当账户选择“当前账户”时,该项为必选参数。
此场景。 表1 支持获取源IP地址的场景分类 一级分类 二级分类 负载均衡类型 VPC、容器隧道网络模型 云原生网络2.0模型(CCE Turbo集群) 操作指导 七层转发(Ingress) ELB型 共享型 支持 支持 ELB Ingress 独享型 支持 支持 Nginx型(对接NGINX
虚拟私有云VPC:是用户在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以申请弹性带宽和弹性IP搭建业务系统。 基本概念 集群:集群是计算资源的集合,包含一组节点资源,容器运行在节点上。在创建容器应用前,您需要存在一个可用集群。 节点:节点是指接
算、网络、存储等资源划分成多个集群。一个Region中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该
0”模型的集群需要根据业务诉求放通容器关联的安全组,容器关联的默认安全组名称为{集群名}-cce-eni-{随机ID},具体请参见云原生网络2.0(CCE Turbo集群)安全组规则。 父主题: 网络指导
Cloud EulerOS、EulerOS、CentOS系统 rpm -q containerd # Ubuntu系统 dpkg -s containerd 表8 各操作系统对应的最新容器引擎版本 集群版本 架构 操作系统 最新Docker版本 最新containerd版本 v1
每个请求被收到时,NGINX会生成一个唯一的请求ID,这个ID通常会被记录到日志中,或者通过头部信息传递到后端服务器。这对于请求的追踪和调试来说非常有用,尤其是在分布式系统中定位问题。 开启 忽略无效标头 ignore-invalid-headers 在接收到包含无效头部的HTTP请求时,NGINX默认会拒
ngress还是同一个Ingress的转发规则,都会使用ELB侧的默认排序规则。 前提条件 已创建一个CCE Standard或CCE Turbo集群,且集群版本满足以下要求: v1.23集群:v1.23.15-r0及以上 v1.25集群:v1.25.10-r0及以上 v1.27集群:v1
ce-node-{随机ID} 如果集群中绑定了自定义的节点安全组,请根据实际进行选择。 ICMP的全部端口 ELB后端子网网段 CCE Turbo 共享型ELB 节点安全组,名称规则默认是{集群名}-cce-node-{随机ID} 如果集群中绑定了自定义的节点安全组,请根据实际进行选择。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
