检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在云原生网络2.0下,支持为StatefulSet工作负载或直接创建的Pod分配固定的公网IP(EIP)。 约束限制 仅以下指定版本的CCE Turbo集群支持用户配置Pod固定EIP: v1.19集群:v1.19.16-r20及以上版本 v1.21集群:v1.21.10-r0及以上版本
开启云原生混部 前提条件 已创建一个CCE Standard集群或CCE Turbo集群,且版本满足以下要求: v1.23集群:v1.23.9-r0及以上 v1.25集群:v1.25.4-r0及以上 集群中已安装1.10.0及以上版本的Volcano插件。 约束与限制 开启云原生
点规格为:vCPU≥4核,内存≥8 GiB。 4 vCPUs | 8 GiB 操作系统 请选择节点对应的操作系统。 EulerOS 系统盘 节点云服务器使用的系统盘,供操作系统使用。您可以设置系统盘的规格为40GiB-1024GiB之间的数值,缺省值为50GiB。 50GiB 数据盘
节点挂载检查异常处理 检查项内容 检查节点上默认挂载目录及软链接是否被手动挂载或修改。 v1.23.16-r0、v1.25.11-r0、v1.27.8-r0、1.28.6-r0、v1.29.2-r0及以上版本的集群将软链修改为挂载绑定。 节点为非共享磁盘场景 CCE默认挂载/va
CCE节点kubelet和runtime组件路径与社区原生配置差异说明 为保证节点的系统稳定性,CCE将Kubernetes和容器运行时的相关组件单独存储在数据盘中。其中Kubernetes使用“/mnt/paas/kubernetes”目录,容器运行时使用/“mnt/paas/
作负载配置安全计算模式seccomp,建议配置RuntimeDefault模式或者禁用unshare等系统调用。具体配置方法可参考社区官方资料使用 Seccomp 限制容器的系统调用。 Ubuntu镜像自带openvswitch内核模块,可以通过将禁止加载openvswitch 内核模块来规避。操作如下:
修复Kubernetes Dashboard安全漏洞公告(CVE-2018-18264) 漏洞详情 Kubernetes社区发现Kubernetes Dashboard安全漏洞CVE-2018-18264:使用Kubernetes Dashboard v1.10及以前的版本有跳过
一对您的其他云服务资源进行操作,并且授予其Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限,用于对CCE所依赖的其他云服务资源进行调用,且该授权仅在当前区域生效。您可前往“统一身份认证服务 IAM >
版本镜像已提供修复版本,请尽快迁移到4.18.0-147.5.1.6.h541.eulerosv2r9.x86_64版本节点。 为工作负载配置seccomp,限制unshare系统调用,详情请参考Kubernetes社区文档。 限制容器内进程权限,最小化容器内的进程权限,如使用非root启动进程、通过capability机制细化进程权限等。
SS评分为5.5。 具备以下特权的Pod拥有节点上/etc/hosts文件的写入权限: Pod中的容器具备CAP_DAC_OVERRIDE系统权限(默认具备)。 Pod以root(UID为0)用户启动或者Pod Security Context中的allowPrivilegeEs
服务是由不同的语言编写的。这些服务对应用服务网格ASM并无依赖,但是构成了一个有代表性的服务网格的例子,即由多个服务、多个语言构成,且reviews服务具有多个版本。这四个服务的说明如下: productpage:会调用details和reviews两个服务,用来生成页面。 details:包含了书籍的信息。
CoreDNS域名解析插件版本发布记录 CCE会定期发布CoreDNS域名解析插件新版本,进行特性更新、性能优化和BUG修复,以提升用户体验和系统稳定性。为了方便您能够体验最新功能、规避已知漏洞或问题,并保障业务的安全性和可靠性,建议定期升级至最新版本的CoreDNS域名解析插件。 表1
CCE容器弹性引擎插件版本发布记录 CCE会定期发布CCE容器弹性引擎插件新版本,进行特性更新、性能优化和BUG修复,以提升用户体验和系统稳定性。为了方便您能够体验最新功能、规避已知漏洞或问题,并保障业务的安全性和可靠性,建议定期升级至最新版本的CCE容器弹性引擎插件。 表1 CCE容器弹性引擎插件版本记录
参数名 取值范围 默认值 是否允许修改 作用范围 kube-api-qps 大于等于0 100 允许 CCE Standard/CCE Turbo 与kube-apiserver通信的qps 默认值100;1000节点以上规格值为200 请求至kube-apiserver的Burst配置
默认值 是否允许修改 作用范围 enable-gpu-share true/false true 允许 CCE Standard/CCE Turbo 配置建议: true 默认调度器 集群调度器选择开关,用户可自定义调度器模式。 kube-scheduler: K8S 默认调度器 volcano:
CCE密钥管理(对接 DEW)插件版本发布记录 CCE会定期发布CCE密钥管理(对接 DEW)插件新版本,进行特性更新、性能优化和BUG修复,以提升用户体验和系统稳定性。为了方便您能够体验最新功能、规避已知漏洞或问题,并保障业务的安全性和可靠性,建议定期升级至最新版本的CCE密钥管理(对接 DEW)插件。
Server插件版本发布记录 CCE会定期发布Kubernetes Metrics Server插件新版本,进行特性更新、性能优化和BUG修复,以提升用户体验和系统稳定性。为了方便您能够体验最新功能、规避已知漏洞或问题,并保障业务的安全性和可靠性,建议定期升级至最新版本的Kubernetes Metrics
如果您的应用需要为使用IPv6终端的用户提供访问服务,则您可使用:IPv6弹性公网IP或IPv6双栈。 如果您的应用既需要为使用IPv6终端的用户提供访问服务,又需要对这些访问来源进行数据分析处理,则您必须使用IPv6双栈。 如果您的应用系统与其他系统(例如:数据库系统)、应用系统之间需要使用IPv6进行内网访问,则您必须使用IPv6双栈。
在华为云CCE中使用Kmesh Kmesh是一个基于eBPF和可编程内核实现的高性能服务网格(Service Mesh)数据平面软件。通过将流量管理卸载到内核,Kmesh允许在网格内进行服务通信,而不需要经过代理软件,大大减少了流量转发路径,有效提升了服务访问的转发性能。 Kmesh的双引擎模式使用eBPF来
参数名 取值范围 默认值 是否允许修改 作用范围 kube-api-qps 大于等于0 100 允许 CCE Standard/CCE Turbo 与kube-apiserver通信的qps 默认值100;1000节点以上规格值为200 请求至kube-apiserver的Burst配置
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
