Kubernetes社区披露了安全漏洞CVE-2024-3177,攻击者可以通过在工作负载的容器定义中使用 envFrom 字段,绕过ServiceAccount准入插件对Secret挂载的限制,从而导致敏感信息泄漏。该漏洞被评估为低危漏洞,在CVSS的评分为 2.7。关于该漏洞的...
Kubernetes社区披露了安全漏洞CVE-2024-3177,攻击者可以通过在工作负载的容器定义中使用 envFrom 字段,绕过ServiceAccount准入插件对Secret挂载的限制,从而导致敏感信息泄漏。该漏洞被评估为低危漏洞,在CVSS的评分为 2.7。关于该漏洞的...
通过设置容器启动命令和参数,可以定义容器的启动行为和初始化过程,保证容器能够正确运行并提供所需服务。本文介绍如何为容器设置启动命令和参数。功能说明 如果您想覆盖镜像中设置的启动默认值,包括工作目录、启动命令和参数,可以通过...
通过设置容器启动命令和参数,可以定义容器的启动行为和初始化过程,保证容器能够正确运行并提供所需服务。本文介绍如何为容器设置启动命令和参数。功能说明 如果您想覆盖镜像中设置的启动默认值,包括工作目录、启动命令和参数,可以通过...
通过设置容器启动命令和参数,可以定义容器的启动行为和初始化过程,保证容器能够正确运行并提供所需服务。本文介绍如何为容器设置启动命令和参数。功能说明 如果您想覆盖镜像中设置的启动默认值,包括工作目录、启动命令和参数,可以通过...
Terway 系统组件 阿里云开源的基于专有网络VPC的容器网络接口CNI(Container Network Interface)插件,支持基于Kubernetes标准的网络策略来定义容器间的访问策略。您可以通过使用Terway网络组件实现Kubernetes集群内部的网络互通。Nginx ...
阿里云容器服务自研的网络插件,将阿里云的弹性网卡分配给容器,支持基于Kubernetes标准的NetworkPolicy来定义容器间的访问策略,支持对单个容器做带宽的限流。对于不需要使用Network Policy的用户,可以选择Flannel,其他情况建议选择...
Terway 可选组件 阿里云开源的Terway CNI插件支持eBPF网络加速和Kubernetes标准的NetworkPolicy,用于定义容器间的访问策略。使用Terway可以实现Kubernetes集群内部的网络互通。创建集群时,选择Terway网络插件会默认安装该组件。Flannel ...
增强的资源可观测性:引入压力失速信息(Pressure Stall Information,PSI),量化应用因等待 CPU、内存或 I/O 资源而阻塞的时间,为性能瓶颈分析提供精细化指标支持。检查节点cgroup版本 迁移前,可 登录节点,执行以下命令来确认当前的...
在云原生应用、微服务架构或者容器化应用中,您可以配置存活探针(Liveness Probe)和就绪探针(Readiness Probe)以确保应用程序处于健康状态且已准备好接收流量。相较于Kubernetes社区的探针策略,Knative的策略更为频繁,以最大限度缩短...
在云原生应用、微服务架构或者容器化应用中,您可以配置存活探针(Liveness Probe)和就绪探针(Readiness Probe)以确保应用程序处于健康状态且已准备好接收流量。相较于Kubernetes社区的探针策略,Knative的策略更为频繁,以最大限度缩短...
本文描述弹性容器实例支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)...
通过OpenKruise SidecarSet功能,可以为调度到虚拟节点的Pod自动注入Sidecar容器,从而解耦业务容器和辅助功能容器。本文介绍如何创建SidecarSet定义Sidecar容器,并自动将Sidecar容器注入到虚拟节点的Pod中。基本概念 Sidecar:一种将应用...
通过OpenKruise SidecarSet功能,可以为调度到虚拟节点的Pod自动注入Sidecar容器,从而解耦业务容器和辅助功能容器。本文介绍如何创建SidecarSet定义Sidecar容器,并自动将Sidecar容器注入到虚拟节点的Pod中。基本概念 Sidecar:一种将应用...
容器垂直伸缩也会保持最初容器定义中资源 request 和 limit 的占比。适用于无法水平扩展的应用,通常是在Pod出现异常恢复时生效。资源层弹性 节点自动伸缩 ACK的自动伸缩能力是通过节点自动伸缩组件实现的,可以按需弹出普通实例、GPU实例...
本文描述容器镜像服务支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)...
阿里云 容器服务 Kubernetes 版 严格遵循社区一致性认证。本文介绍ACK发布Kubernetes 1.34版本的主要变更说明,包括升级注意事项、重大变更、功能特性、弃用功能和API、特性门控等。组件版本说明 下表为ACK集群核心组件版本的支持情况。...
阿里云 容器计算服务 ACS(Container Compute Service)是以Kubernetes为用户界面的容器服务产品,提供符合容器规范的算力资源。ACS容器算力的交付模式为Serverless形态,用户无需关注底层节点及集群的运维管理。ACS容器算力有丰富的使用...
ContainerOS 3.5 及以上的运维容器登录方式 分类 Workbench(仅免密)登录 VNC 登录 前提条件 不涉及。运维容器中已安装 ECS云助手,无需手动安装。VNC登录需通过密码认证,请先通过Workbench(仅免密)登录的方式设置运维容器登录密码。...
本文描述容器计算服务支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)...
如果您想基于CPU使用率、内存使用率或其他自定义指标实现Pod的自动扩缩,建议您为业务容器开启水平伸缩HPA(Horizontal Pod Autoscaler)功能。HPA能够在业务负载急剧飙升时快速扩容多个Pod副本来缓解压力,也可以在业务负载变小时根据实际...
功能映射 功能分类 Batch批量计算 Argo Workflows 用户体验 批量计算CLI Argo Workflows CLI Json定义作业 YMAL定义作业 SDK SDK 核心能力 作业(Jobs)工作流(Workflows)Array jobs 工作流(Workflows)Loops Job dependencies 工作流...
功能映射 功能分类 Batch批量计算 Argo Workflows 用户体验 批量计算CLI Argo Workflows CLI Json定义作业 YMAL定义作业 SDK SDK 核心能力 作业(Jobs)工作流(Workflows)Array jobs 工作流(Workflows)Loops Job dependencies 工作流...
tz-config mountPath:/etc/localtime readOnly:true 注入LoongCollector Sidecar容器 在 spec.template.spec.containers 数组中追加以下 Sidecar 容器定义:name:loongcollector image:aliyun-observability-release-registry....
本文描述容器服务Kubernetes版支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制...
受CPU Limit约束,容器在运行过程中可用的CPU资源会受到限制,当真实用量触发上限时,内核会对其限流(Throttling),进而导致服务质量受损。CPU Burst功能能够动态感知CPU Throttled现象并对容器参数进行自适应调节。在出现突发负载时,...
name:example-k8s-file spec:#指定目标project project:name:k8s-log-test#创建用于存储日志的 Logstore logstores:name:k8s-file#定义iLogtail采集配置 config:#定义输入插件 inputs:#使用input_file插件采集容器内文本日志-Type:input_...
启动命令与参数定义了容器启动时执行的操作,用于初始化应用服务。适用于需要特定环境变量、挂载点或端口映射的应用部署场景。启动后处理 为容器设置启动后的命令。启动后处理命令用于容器启动后执行特定任务,如初始化配置、运行脚本等,...
本文基于 DaemonSet模式,介绍如何通过日志服务控制台采集Kubernetes集群的文本日志和容器标准输出,涵盖了基础采集,结构化解析及高级处理的完整配置流程。基础配置(必选):用于定义采集任务的核心参数,确保日志数据顺利采集并传输至...
弹性容器实例适用于容器形态下大部分业务场景,从弹性及成本角度,特别适用于在线业务的免运维托管、大数据计算任务(Spark、Presto)、事件驱动型业务和Job型业务,以及DevOps、机器学习、在线测试等各类场景。概述 弹性容器实例可以通过...
ACK安全沙箱和社区Kata Containers对比 性能 性能分类 ACK安全沙箱v2 社区Kata Containers 沙箱启动速度 约150ms 约500ms 沙箱额外开销 低 高 容器RootFS virtio-fs,性能:☆9pfs,性能:☆virtio-fs,性能:☆容器存储卷 HostPath/...
本文介绍容器服务ACK 2020年及之前的功能发布的相关动态。背景信息 容器服务ACK支持的Kubernetes(K8s)版本:v1.24、v1.22、v1.20。容器服务ACK支持的操作系统:CentOS 7.9、Alibaba Cloud Linux 3.2104、Alibaba Cloud Linux 2.1903、...
关于如何定义 Pod 或容器的安全特性,例如用户ID、组ID、使用的特权模式、SELinux、能力等,请参见 Configure a Security Context for a Pod or Container。关于如何检查容器健康状态,请参见 Configure Liveness,Readiness and Startup ...
阿里云容器服务Kubernetes版(简称容器服务ACK)提供容器服务相关的技术架构以及核心组件的托管服务,对于非托管组件以及运行在ACK集群中的应用,不当操作可能会导致业务故障。为了更好地预估和避免相关的操作风险,在使用容器服务ACK前,...
根据应用对资源质量需求的差异,在线应用可以归纳为延时敏感型LS(Latency Sensitive),通常对请求压力(QPS)或访问延迟(RT)等指标有明确的要求,对资源质量较为敏感;离线应用可以归纳为资源消耗型BE(Best Effort),通常是一些计算...
项目分类 项目名称 项目简介 项目地址 参考文档 核心组件 Kubernetes Cloud Controller Manager for Alibaba Cloud 为Kubernetes应用创建负载均衡,管理节点路由条目。Cloud-Provider-Alibaba-Cloud Cloud Controller Manager 网络 Terway ...
本文介绍容器服务ACK 2024年功能发布的相关动态。重要 关于容器服务ACK的最新功能发布记录,请参见 功能发布记录。2024年12月 产品 功能名称 功能描述 发布地域 相关文档 容器服务 Kubernetes 版 基于Notation和Ratify进行OCI制品的加签和...
阿里云容器服务Kubernetes版(ACK)严格遵循社区一致性认证。本文介绍ACK发布Kubernetes 1.22版本所做的变更说明。版本升级说明 ACK针对Kubernetes 1.22版本提供了组件的升级和优化。核心组件 版本号 升级注意事项 Kubernetes 1.22.15-...
阿里云容器服务Kubernetes版(ACK)严格遵循社区一致性认证。本文介绍ACK灵骏托管版集群发布Kubernetes 1.22版本所做的变更说明。版本升级说明 ACK灵骏托管版集群 针对Kubernetes 1.22版本提供了组件的升级和优化。核心组件 版本号 升级...
容器服务ACK的授权体系融合了阿里云访问控制(RAM)与Kubernetes原生的RBAC(Role-Based Access Control)机制,支持对基础资源层和集群内部资源的权限控制,为您提供灵活的多层次权限管理解决方案。授权体系 容器服务ACK的授权体系包含对...