检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
OVS IPVlan,VPC路由 VPC弹性网卡/弹性辅助网卡 适用集群 CCE Standard集群 CCE Standard集群 CCE Turbo集群 容器网络隔离 Pod支持Kubernetes原生NetworkPolicy 否 Pod支持使用安全组隔离 ELB对接Pod EL
文件类型,支持“obsfs”与“s3fs”,取值为s3fs时创建是obs对象桶,配套使用s3fs挂载;取值为obsfs时创建的是obs并行文件系统,配套使用obsfs挂载。可参考FlexVolume PV的spec.flexVolume.options.posix的对应关系:true
(NetworkAttachmentDefinition)中的安全组。 约束与限制 v1.19及以上的CCE Turbo集群支持此功能,v1.19以下版本CCE Turbo集群需要升级到v1.19及以上版本后才能启用此功能。 1个工作负载最多可绑定5个安全组。 创建安全组策略 通过控制台创建
作用的集群类型 取值范围: CCE:CCE Standard集群 Turbo:CCE Turbo集群 Autopilot:CCE Autopilot集群 默认取值 为空时默认为CCE Standard,CCE Turbo集群 请求示例 无 响应示例 状态码:200 OK { "kind"
作用范围 horizontal-pod-autoscaler-sync-period 大于等于0 15 允许 CCE Standard/CCE Turbo 水平弹性伸缩控制器同步 pod 数量的周期。配置越小弹性伸缩器反应越及时,同时CPU负载也越高 配置建议: 无特殊需求建议保持默认配置
策略成功触发后,在此缩容/扩容冷却时间内,不会再次触发缩容/扩容,目的是等待伸缩动作完成后在系统稳定且集群正常的情况下进行下一次策略匹配。 伸缩配置 该设置仅在1.25及以上版本的集群中显示。 系统默认:采用社区推荐的默认行为进行负载伸缩,详情请参见社区默认行为说明。 自定义:自定义扩
none:默认策略,显式地启用现有的默认CPU亲和方案,不提供操作系统调度器默认行为之外的亲和性策略。 static:针对CPU申请值设置为整数的Guaranteed Pods ,它允许该类Pod中的容器访问节点上的独占CPU资源(绑核)。 约束与限制 CCE Turbo集群的弹性云服务器-物理机节点不支持使用CPU管理策略。
作用的集群类型 取值范围: CCE:CCE Standard集群 Turbo:CCE Turbo集群 Autopilot:CCE Autopilot集群 默认取值 为空时默认为CCE Standard,CCE Turbo集群 请求示例 { "clusterID" : "******"
storageType必须同时配置。 bs:EVS云硬盘存储 nfs:SFS1.0弹性文件存储 obs:OBS对象存储 efs:SFS Turbo极速文件存储 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 Content-Type 是 String 参数解释:
集群版本、操作系统可能导致支持的容器引擎类型不同,请根据控制台呈现进行选择。具体场景请参见节点操作系统与容器引擎对应关系。 说明: 修改“容器引擎”配置后,对新增的节点自动生效,存量节点需要手动重置节点后生效。 操作系统 选择操作系统类型,不同类型节点支持的操作系统有所不同。 公共镜像:请选择节点对应的操作系统。
docker作为CRI时不涉及该漏洞。 containerd版本号小于1.4.1-96。 判断方法 在CCE新Console上的CCE Turbo集群的集群信息下的“节点管理”处,查看“运行时版本”,若运行时为containerd且版本号小于 1.4.1-96则涉及该漏洞。 漏洞修复方案
达式 v1.11.3-r0 主要特性: Kubernetes同步社区1.11.3版本 集群控制节点支持多可用区 容器存储支持对接SFS Turbo极速文件存储 参考链接 社区v1.9与v1.11版本之间的CHANGELOG v1.10到v1.11的变化: https://github
达式 v1.11.3-r0 主要特性: Kubernetes同步社区1.11.3版本 集群控制节点支持多可用区 容器存储支持对接SFS Turbo极速文件存储 参考链接 社区v1.9与v1.11版本之间的CHANGELOG v1.10到v1.11的变化: https://github
集群漏洞修复周期 高危漏洞: Kubernetes社区发现漏洞并发布修复方案后,CCE一般在1个月内进行修复,修复策略与社区保持一致。 操作系统紧急漏洞按照操作系统修复策略和流程对外发布,一般在一个月内提供修复方案,用户自行修复。 其他漏洞: 按照版本正常升级流程解决。 修复声明 为了防止客
符合上述范围的CCE集群,且配置了聚合API Server的均受影响,尤其是将CCE集群在逻辑多租场景下使用风险较高。 判断方法 对于1.23及以下版本的CCE集群、CCE Turbo集群,使用web-terminal、cloudshell或者配置kubectl连接集群,运行以下命令,确认是否运行聚合API Server:
CoreDNS开源社区地址:https://github.com/coredns/coredns 前提条件 已创建一个CCE集群,具体操作步骤请参见购买Standard/Turbo集群。 已通过kubectl连接集群,详情请参见通过kubectl连接集群。 安装CoreDNS插件(推荐安装CoreDNS最新版本),详情请参见CoreDNS。
微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。通过使用安全运行时,不同容器之间的内核、计算资源、网络都是隔离开的,保护了Pod的资源和数据不被其他Pod抢占和窃取。CCE Turbo集群支持使用安全运行时创建工作负载,可在CCE Turbo集群中购买物理机并选择c
VPC位于不同账户下时,选择该项。 当前账户 对端项目 当账户选择“当前账户”时,系统默认填充对应的项目,无需您额外操作。 比如VPC-A和VPC-B均为账户A下的资源,并且位于区域A,那么此处系统默认显示账户A下,区域A对应的项目。 - 对端VPC 当账户选择“当前账户”时,该项为必选参数。
是,这个越权并没有突破 execve 前的进程权限,仅仅是继承之前的 capabilities。 该漏洞的影响范围如下: 1. CCE Turbo集群,使用了低于1.4.1-98版本的containerd作为Kubernetes CRI运行时。 2. CCE集群containerd版本低于1
ce-node-{随机ID} 如果集群中绑定了自定义的节点安全组,请根据实际进行选择。 ICMP的全部端口 ELB后端子网网段 CCE Turbo 共享型ELB 节点安全组,名称规则默认是{集群名}-cce-node-{随机ID} 如果集群中绑定了自定义的节点安全组,请根据实际进行选择。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
