Kubernetes社区披露了安全漏洞CVE-2024-3177,攻击者可以通过在工作负载的容器定义中使用 envFrom 字段,绕过ServiceAccount准入插件对Secret挂载的限制,从而导致敏感信息泄漏。该漏洞被评估为低危漏洞,在CVSS的评分为 2.7。关于该漏洞的...
Kubernetes社区披露了安全漏洞CVE-2024-3177,攻击者可以通过在工作负载的容器定义中使用 envFrom 字段,绕过ServiceAccount准入插件对Secret挂载的限制,从而导致敏感信息泄漏。该漏洞被评估为低危漏洞,在CVSS的评分为 2.7。关于该漏洞的...
容器垂直伸缩也会保持最初容器定义中资源 request 和 limit 的占比。适用于无法水平扩展的应用,通常是在Pod出现异常恢复时生效。资源层弹性 节点自动伸缩 ACK的自动伸缩能力是通过节点自动伸缩组件实现的,可以按需弹出普通实例、GPU实例...
通过设置容器启动命令和参数,可以定义容器的启动行为和初始化过程,保证容器能够正确运行并提供所需服务。本文介绍如何为容器设置启动命令和参数。功能说明 如果您想覆盖镜像中设置的启动默认值,包括工作目录、启动命令和参数,可以通过...
通过设置容器启动命令和参数,可以定义容器的启动行为和初始化过程,保证容器能够正确运行并提供所需服务。本文介绍如何为容器设置启动命令和参数。功能说明 如果您想覆盖镜像中设置的启动默认值,包括工作目录、启动命令和参数,可以通过...
通过设置容器启动命令和参数,可以定义容器的启动行为和初始化过程,保证容器能够正确运行并提供所需服务。本文介绍如何为容器设置启动命令和参数。功能说明 如果您想覆盖镜像中设置的启动默认值,包括工作目录、启动命令和参数,可以通过...
Terway 系统组件 阿里云开源的基于专有网络VPC的容器网络接口CNI(Container Network Interface)插件,支持基于Kubernetes标准的网络策略来定义容器间的访问策略。您可以通过使用Terway网络组件实现Kubernetes集群内部的网络互通。Nginx ...
阿里云容器服务自研的网络插件,将阿里云的弹性网卡分配给容器,支持基于Kubernetes标准的NetworkPolicy来定义容器间的访问策略,支持对单个容器做带宽的限流。对于不需要使用Network Policy的用户,可以选择Flannel,其他情况建议选择...
tz-config mountPath:/etc/localtime readOnly:true 注入LoongCollector Sidecar容器 在 spec.template.spec.containers 数组中追加以下 Sidecar 容器定义:name:loongcollector image:aliyun-observability-release-registry....
Terway 可选组件 阿里云开源的Terway CNI插件支持eBPF网络加速和Kubernetes标准的NetworkPolicy,用于定义容器间的访问策略。使用Terway可以实现Kubernetes集群内部的网络互通。创建集群时,选择Terway网络插件会默认安装该组件。Flannel ...
阿里云 容器服务 Kubernetes 版 严格遵循社区一致性认证。本文介绍ACK发布Kubernetes 1.34版本的主要变更说明,包括升级注意事项、重大变更、功能特性、弃用功能和API、特性门控等。组件版本说明 下表为ACK集群核心组件版本的支持情况。...
本文介绍容器服务ACK 2020年及之前的功能发布的相关动态。背景信息 容器服务ACK支持的Kubernetes(K8s)版本:v1.24、v1.22、v1.20。容器服务ACK支持的操作系统:CentOS 7.9、Alibaba Cloud Linux 3.2104、Alibaba Cloud Linux 2.1903、...
重要 关于容器服务ACK的最新功能发布记录,请参见 功能发布记录。2024年12月 产品 功能名称 功能描述 发布地域 相关文档 容器服务 Kubernetes 版 基于Notation和Ratify进行OCI制品的加签和验签方案 您可以在ACK集群中安装notation-...
关于如何定义 Pod 或容器的安全特性,例如用户ID、组ID、使用的特权模式、SELinux、能力等,请参见 Configure a Security Context for a Pod or Container。关于如何检查容器健康状态,请参见 Configure Liveness,Readiness and Startup ...
容器运行时升级:容器运行时发布新版本后,可升级节点的容器运行时至最新版本。从Docker升级为containerd时,将通过替盘重置节点(替换节点系统盘)的方式升级节点池节点,升级过程将清除系统盘上的所有内容。替盘升级前,请务必备份系统盘...
容器运行时升级:容器运行时发布新版本后,可升级节点的容器运行时至最新版本。从Docker升级为containerd时,将通过替盘重置节点(替换节点系统盘)的方式升级节点池节点,升级过程将清除系统盘上的所有内容。替盘升级前,请务必备份系统盘...
在云原生应用、微服务架构或者容器化应用中,您可以配置存活探针(Liveness Probe)和就绪探针(Readiness Probe)以确保应用程序处于健康状态且已准备好接收流量。相较于Kubernetes社区的探针策略,Knative的策略更为频繁,以最大限度缩短...
在云原生应用、微服务架构或者容器化应用中,您可以配置存活探针(Liveness Probe)和就绪探针(Readiness Probe)以确保应用程序处于健康状态且已准备好接收流量。相较于Kubernetes社区的探针策略,Knative的策略更为频繁,以最大限度缩短...
本文描述弹性容器实例支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)...
通过OpenKruise SidecarSet功能,可以为调度到虚拟节点的Pod自动注入Sidecar容器,从而解耦业务容器和辅助功能容器。本文介绍如何创建SidecarSet定义Sidecar容器,并自动将Sidecar容器注入到虚拟节点的Pod中。基本概念 Sidecar:一种将应用...
通过OpenKruise SidecarSet功能,可以为调度到虚拟节点的Pod自动注入Sidecar容器,从而解耦业务容器和辅助功能容器。本文介绍如何创建SidecarSet定义Sidecar容器,并自动将Sidecar容器注入到虚拟节点的Pod中。基本概念 Sidecar:一种将应用...
本文介绍 容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)的最新功能发布记录。背景信息 关于 容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)支持的Kubernetes(K8s)版本,请参见 版本说明。容器服务 ...
分类 跳转链接 日志采集 如何排查容器日志采集异常?Project无法删除?日志服务采集数据常见的错误类型 如何将ACK集群日志传输到另一个阿里云账号的Project?应用监控 为什么ACK集群应用安装探针后没有监控数据?集群中不存在ARMS Addon ...
本文描述容器镜像服务支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)...
说明 如果您需要了解排查Pod问题常用的控制台界面,例如如何查看Pod状态、基础信息、配置、事件和日志,使用终端进入容器,启用Pod故障诊断等,可跳转至 常用排查界面 了解。快速诊断流程 查看工作负载Pod异常状态,进入目标 容器组 详情页...
说明 如果您需要了解排查Pod问题常用的控制台界面,例如如何查看Pod状态、基础信息、配置、事件和日志,使用终端进入容器,启用Pod故障诊断等,可跳转至 常用排查界面 了解。快速诊断流程 查看工作负载Pod异常状态,进入目标 容器组 详情页...
阿里云 容器计算服务 ACS(Container Compute Service)是以Kubernetes为用户界面的容器服务产品,提供符合容器规范的算力资源。ACS容器算力的交付模式为Serverless形态,用户无需关注底层节点及集群的运维管理。ACS容器算力有丰富的使用...
containerd:容器运行时版本,默认为最新版。关于安全沙箱运行时的变更详情,请参见 安全沙箱运行时变更记录。tags array 否 节点标签。标签定义规则:标签由区分大小写的键值对(key-value)组成,您最多可以设置 20 个标签。标签键不可以...
containerd:容器运行时版本,默认为最新版。关于安全沙箱运行时的变更详情,请参见 安全沙箱运行时变更记录。tags array 否 节点标签。标签定义规则:标签由区分大小写的键值对(key-value)组成,您最多可以设置 20 个标签。标签键不可以...
containerd:容器运行时版本,默认为最新版。关于安全沙箱运行时的变更详情,请参见 安全沙箱运行时变更记录。tags array 否 节点标签。标签定义规则:标签由区分大小写的键值对(key-value)组成,您最多可以设置 20 个标签。标签键不可以...
本文描述容器计算服务支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)...
如果您想基于CPU使用率、内存使用率或其他自定义指标实现Pod的自动扩缩,建议您为业务容器开启水平伸缩HPA(Horizontal Pod Autoscaler)功能。HPA能够在业务负载急剧飙升时快速扩容多个Pod副本来缓解压力,也可以在业务负载变小时根据实际...
容器网络插件(CNI Plugin)Kubernetes本身并未实现容器间的网络互联能力,但是它通过 容器网络接口(CNI)对容器间的网络做出了标准化的定义:Pod在容器网络中的状态随着Pod生命周期而变化。例如,Pod创建后需要加入网络,销毁后需要退出...
本文描述容器服务Kubernetes版支持的所有系统权限策略及其对应的权限描述,供您授权 RAM 身份时参考。什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制...
受CPU Limit约束,容器在运行过程中可用的CPU资源会受到限制,当真实用量触发上限时,内核会对其限流(Throttling),进而导致服务质量受损。CPU Burst功能能够动态感知CPU Throttled现象并对容器参数进行自适应调节。在出现突发负载时,...
name:example-k8s-file spec:#指定目标project project:name:k8s-log-test#创建用于存储日志的 Logstore logstores:name:k8s-file#定义iLogtail采集配置 config:#定义输入插件 inputs:#使用input_file插件采集容器内文本日志-Type:input_...
启动命令与参数定义了容器启动时执行的操作,用于初始化应用服务。适用于需要特定环境变量、挂载点或端口映射的应用部署场景。启动后处理 为容器设置启动后的命令。启动后处理命令用于容器启动后执行特定任务,如初始化配置、运行脚本等,...
除了容器运行时风险,由于其他节点漏洞、容器镜像风险、工作负载配置风险数据会有24小时延时,在初次授权开启使用或风险修复完成后,需等待24小时,才可以在安全概览页面看到最新数据。查看安全概览 登录 容器服务管理控制台,在左侧导航栏...
除了容器运行时风险,由于其他节点漏洞、容器镜像风险、工作负载配置风险数据会有24小时延时,在初次授权开启使用或风险修复完成后,需等待24小时,才可以在安全概览页面看到最新数据。查看安全概览 登录 容器服务管理控制台,在左侧导航栏...
除了容器运行时风险,由于其他节点漏洞、容器镜像风险、工作负载配置风险数据会有24小时延时,在初次授权开启使用或风险修复完成后,需等待24小时,才可以在安全概览页面看到最新数据。查看安全概览 登录 容器服务管理控制台,在左侧导航栏...