检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
监控配置 采集配置 系统预置采集:可视化管理云原生监控插件的监控采集任务。详情请参见管理监控采集任务。 ServiceMonitor:定义针对Service的自定义指标采集策略,详情请参见管理监控采集任务。
调整文件系统的大小。其中/dev/vgpaas/dockersys为容器引擎的文件系统路径。
表1 了解应用环境 类别 子类 说明 运行环境 操作系统 应用需要运行在什么操作系统上,比如centos或者Ubuntu。 本例中,应用需要运行在centos:7.1操作系统上。
创建完成后,系统生成密钥文件,自动保存在系统默认目录下。 父主题: 附录
方案概述 DevOps是一组过程、方法与系统的统称,通过一系列手段来促进开发(应用程序/软件工程)部门与技术运营和质量保障(QA)部门之间的密切沟通、高效协作与整合。
删除操作未能完成,并提示系统会在确定命名空间中无资源后自动删除该命名空间。 使用强制删除。
前提条件 已创建一个CCE Standard或CCE Turbo集群,且集群版本满足以下要求: v1.23集群:v1.23.12-r0及以上版本 v1.25集群:v1.25.7-r0及以上版本 v1.27集群:v1.27.4-r0及以上版本 v1.28集群:v1.28.2-r0及以上版本
用户开通云审计服务后,系统将开始记录CCE资源的操作,并为您保存最近7天的操作记录。CTS支持记录的CCE操作请参见云审计服务支持CCE操作列表。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CCE用户查看云审计日志方法,请参见云审计日志。
system-addon 系统插件日志。
目前许多企业选择自建Kubernetes集群,但是自建集群往往有着沉重的运维负担,需要运维人员自己配置管理系统和监控解决方案,伴随而来的就是企业人力成本的上升和效率的降低。
本地攻击者可以使用这一点导致拒绝服务(系统崩溃)或执行任意代码,在容器场景下拥有CAP_SYS_ADMIN权限的用户可导致容器逃逸到宿主机。目前已存在poc,但尚未发现已公开的利用代码。
表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 输入验证错误 CVE-2020-13401 中 2020-06-01 漏洞影响 对操作系统中启用了IPv6并且容器网络的CNI Plugins小于V0.8.6版本的节点有影响。
Docker资源管理错误漏洞公告(CVE-2021-21285) 漏洞详情 Docker是一款开源的应用容器引擎,支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。
ELB 支持公网二代ELB透传源IP 支持设置节点最大实例数maxPods v1.9.10-r0 主要特性: kubernetes对接ELB/Ingress,新增流控机制 Kubernetes同步社区1.9.10版本 支持Kubernetes RBAC能力授权 问题修复: 修复操作系统
攻击者可以利用此漏洞,以未授权的形式在Linux系统上用root身份执行任意代码。 判断方法 查看节点操作系统及openssh版本: 如果集群node节点OS是EulerOS、Huawei Cloud EulerOS 1.1和CentOS,openssh版本不受该漏洞影响。
索引:系统会为每个Pod分配索引值,取值为 0 到实例数-1。每个分配了索引的Pod都执行成功,则Job执行成功。索引模式下,Job中的Pod命名遵循$(job-name)-$(index)模式。 挂起任务:默认任务创建后被立即执行。
虚拟机节点规格:4核8G或以上规格、EulerOS 2.9操作系统。 建议选择按需计费。 1 3.72元/小时 云硬盘EVS 云硬盘规格:100G。 建议选择按需计费。 1 0.1元/小时 父主题: 企业管理应用容器化改造(ERP)
系统会自动创建DNAT规则,外部用户使用“网关的弹性IP:服务端口”访问工作负载。 父主题: 网络指导
例如只有在Windows操作系统上的用户可以访问灰度版本。 以“基于流量比例”为例,且v3版本流量配比为20%。更多策略内容请参见为服务添加灰度版本。 图7 灰度策略 单击“策略下发”。
以非root用户运行 通过capability限制容器拥有的特权,如CAP_DAC_OVERRIDE、CAP_DAC_READ_SEARCH、CAP_SYS_ADMIN等 通过seccomp限制攻击者对宿主机内核的系统调用权限,具体请参见使用Seccomp限制容器的系统调用。