检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
system-addon 系统插件日志。
除全局默认安全策略外,系统为kube-system命名空间下的系统组件配置了独立的Pod安全策略,修改psp-global配置不影响kube-system下Pod创建。
用户开通云审计服务后,系统将开始记录CCE资源的操作,并为您保存最近7天的操作记录。CTS支持记录的CCE操作请参见云审计服务支持CCE操作列表。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CCE用户查看云审计日志方法,请参见云审计日志。
本地攻击者可以使用这一点导致拒绝服务(系统崩溃)或执行任意代码,在容器场景下拥有CAP_SYS_ADMIN权限的用户可导致容器逃逸到宿主机。目前已存在poc,但尚未发现已公开的利用代码。
表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 输入验证错误 CVE-2020-13401 中 2020-06-01 漏洞影响 对操作系统中启用了IPv6并且容器网络的CNI Plugins小于V0.8.6版本的节点有影响。
Docker资源管理错误漏洞公告(CVE-2021-21285) 漏洞详情 Docker是一款开源的应用容器引擎,支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。
Gitlab对接SWR和CCE执行CI/CD 应用现状 GitLab是利用Ruby on Rails一个开源的版本管理系统,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。与Github类似,GitLab能够浏览源代码,管理缺陷和注释。
通过Core Dump文件定位容器问题 应用场景 Core Dump是Linux操作系统在程序突然异常终止或者崩溃时将当时的内存状态记录下来,保存在一个文件中。通过Core Dump文件可以分析查找问题原因。
调整文件系统的大小。其中/dev/vgpaas/dockersys为容器引擎的文件系统路径。
监控配置 采集配置 系统预置采集:可视化管理云原生监控插件的监控采集任务。详情请参见管理监控采集任务。 ServiceMonitor:定义针对Service的自定义指标采集策略,详情请参见管理监控采集任务。
CCE集群是由多个节点组成的分布式系统,集群内部资源(如Pods、Services、Deployments 等)通常需要通过一些工具和方法进行集中管理和操作。
您可以通过调整远程写参数,控制上传数据的批处理大小,以优化监控数据的传输效率和系统性能。建议在实际环境中进行测试和监控,根据具体的应用场景和系统负载进行调整,以达到最佳的性能表现。 登录CCE控制台,单击集群名称进入集群详情页。
前提条件 已创建至少一个集群,并且该集群支持Containerd节点,详情请参见节点操作系统与容器引擎对应关系。 您的集群中存在容器引擎为Docker的节点或节点池。
前提条件 已创建一个CCE Standard或CCE Turbo集群,且集群版本满足以下要求: v1.23集群:v1.23.14-r0及以上 v1.25集群:v1.25.9-r0及以上 v1.27集群:v1.27.6-r0及以上 v1.28集群:v1.28.4-r0及以上 其他更高版本的集群
百分比 文件系统的使用率 文件系统使用量 字节 文件系统已经使用的字节数 指标清单 Pod视图使用的指标清单如下: 表4 Pod视图指标清单 指标 指标类型 说明 kube_pod_container_status_running gauge 容器当前是否在运行中的状态 kube_pod_container_info
根据需求选择“CCE Standard集群”或“CCE Turbo集群”。 CCE Standard集群:标准版本集群,提供高可靠、安全的商业级容器集群服务。 CCE Turbo集群:拥有更高性能的云原生网络,提供云原生混部调度能力,可实现更高的资源利用率和更广的全场景覆盖。
以非root用户运行 通过capability限制容器拥有的特权,如CAP_DAC_OVERRIDE、CAP_DAC_READ_SEARCH、CAP_SYS_ADMIN等 通过seccomp限制攻击者对宿主机内核的系统调用权限,具体请参见使用Seccomp限制容器的系统调用。
配额累计使用量包含CCE系统默认创建的资源,如default命名空间下系统默认创建的kubernetes服务(该服务可通过后端kubectl工具查看)等,故建议命名空间下的资源配额略大于实际期望值以去除系统默认创建资源的影响。
系统会自动创建DNAT规则,外部用户使用“网关的弹性IP:服务端口”访问工作负载。 父主题: 网络指导
ELB 支持公网二代ELB透传源IP 支持设置节点最大实例数maxPods v1.9.10-r0 主要特性: kubernetes对接ELB/Ingress,新增流控机制 Kubernetes同步社区1.9.10版本 支持Kubernetes RBAC能力授权 问题修复: 修复操作系统
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
