Kubernetes中的通用数据库审计部署方案
通用数据库审计是日志服务提供的一种轻量级、低成本数据库安全方案,支持通过抓包方式上报数据库的操作行为流量到日志服务。当您将数据库部署在Kubernetes集群中时,可在容器中部署抓包程序。本文介绍如何在容器中部署抓包程序。前提条件 ...
自建Kubernetes集群迁移镜像及应用至ACK
若您期望将底层的IAAS基础设施和K8s的基础PASS能力交给阿里云来管理,可以使用image-syncer、velero来将自建的K8s镜像和应用迁移至阿里云容器镜像服务和ACK。场景描述 本最佳实践构建以下场景:以河源ECS构建Harbor仓库,模拟IDC的镜像仓库...
ACK发布Kubernetes 1.26版本说明
在Kubernetes 1.25版本,容器镜像仓库k8s.gcr.io迁移到registry.k8s.io,流量也将重定向到registry.k8s.io。更多信息,请参见 k8s.gcr.io Redirect to registry.k8s.io。在Kubernetes 1.25版本,网络策略中的EndPort字段处于GA阶段。如果...
启用集群API Server审计功能
certificates.k8s.io"-group:"extensions"-group:"networking.k8s.io"-group:"policy"-group:"rbac.authorization.k8s.io"-group:"settings.k8s.io"-group:"storage.k8s.io"#Default level for known APIs-level:RequestResponse ...
MSE Ingress高级用法
在Kubernetes集群中,MSE Ingress对集群服务(Service)中的外部可访问的API对象进行管理,提供七层负载均衡能力。本文介绍MSE Ingress的高级用法,方便您对集群入口流量进行治理。灰度发布 MSE Ingress提供复杂的路由处理能力,...mse rules:...
MSE Ingress高级用法
在Kubernetes集群中,MSE Ingress对集群服务(Service)中的外部可访问的API对象进行管理,提供七层负载均衡能力。本文介绍MSE Ingress的高级用法,方便您对集群入口流量进行治理。灰度发布 MSE Ingress提供复杂的路由处理能力,...mse rules:...
ACK发布Kubernetes 1.24版本说明
在Kubernetes 1.24版本后,kube-apiserver-audit-log-version 和-audit-webhook-version 仅支持 audit.k8s.io/v1,Kubernetes 1.24移除 audit.k8s.io/v1[alpha|beta]1,只能使用 audit.k8s.io/v1。在Kubernetes 1.24版本后,kubelet移除...
ack-kubernetes-webhook-injector
组件介绍 ack-kubernetes-webhook-injector是一款可以从多种阿里云产品白名单中动态加入或移出Pod IP的K8s组件,免去手动配置Pod IP到云产品白名单的操作。ack-kubernetes-webhook-injector组件架构如下图所示:使用说明 关于ack-...
使用Kubernetes事件中心监控GPU异常
本文介绍如何通过Kubernetes...通知方式配置完成后,在 全部告警事件 页面右上角单击 修改,选择 K8s GPU Xid告警,并在 K8s GPU Xid告警 下拉框中选择 短信。在 全部告警事件 页面,单击 保存。触发告警后,您会收到阿里云发出的告警短信。
DNS FAQ
问题现象 执行集群升级前置检查时,发现用户代理(UserAgent)为 coredns 的客户端正在访问已弃用的 discovery.k8s.io/v1beta1 Kubernetes API,其API路径为/apis/discovery.k8s.io/v1beta1。问题原因 CoreDNS使用 discovery.k8s.io/v1beta...
【已弃用】使用Pod安全策略
Kubernetes的Pod安全策略(Pod Security Policy)准入控制组件会基于您定义的规则验证在集群上创建和更新Pod的请求...ClusterRole metadata:name:ack:podsecuritypolicy:privileged labels:kubernetes.io/cluster-service:"true"ack.alicloud....
【已弃用】使用Pod安全策略
Kubernetes的Pod安全策略(Pod Security Policy)准入控制组件会基于您定义的规则验证在集群上创建和更新Pod的请求...ClusterRole metadata:name:ack:podsecuritypolicy:privileged labels:kubernetes.io/cluster-service:"true"ack.alicloud....
日志审计
group:"apps"-group:"authentication.k8s.io"-group:"authorization.k8s.io"-group:"autoscaling"-group:"batch"-group:"certificates.k8s.io"-group:"extensions"-group:"networking.k8s.io"-group:"policy"-group:"rbac.authorization.k8...
为Kubernetes和日志服务配置Log4JAppender
本文介绍在不需要修改应用代码的前提下,通过配置一个YAML文件,将阿里云容器服务Kubernetes集群中产生的日志输出到阿里云日志服务。...在对应的日志库k8s-logstore右侧的 图标,选择 查询分析,查看Kubernetes集群输出的日志,如下所示。
ALB Ingress服务高级用法
已创建AlbConfig。基于域名转发请求 通过创建一个简单的Ingress,根据指定的正常域名或空域名转发请求,示例如下。基于正常域名转发请求 部署以下模板,分别创建Service、Deployment和Ingress,将访问请求通过Ingress的域名转发至...registry....
混合云IDC自有K8s弹性使用ECI
本文介绍混合云IDC自有K8s弹性使用ECI的场景描述、解决问题、架构图及操作参考链接。场景描述 本文介绍线下IDC与云端通过专线构建混合云架构,自有K8s利用虚拟节点弹性调用ECI承载业务高峰期资源需求的最佳实践。解决问题 在混合云环境下,...
ALB Ingress服务高级用法
配置健康检查的YAML示例如下所示:1.19及之后版本集群 apiVersion:networking.k8s.io/v1 kind:Ingress metadata:name:cafe-ingress annotations:alb.ingress.kubernetes.io/healthcheck-enabled:"true"alb.ingress.kubernetes.io/...
ALB Ingress服务高级用法
配置健康检查的YAML示例如下所示:1.19及之后版本集群 apiVersion:networking.k8s.io/v1 kind:Ingress metadata:name:cafe-ingress annotations:alb.ingress.kubernetes.io/healthcheck-enabled:"true"alb.ingress.kubernetes.io/...
什么是容器服务 Serverless 版
数据计算 面对Spark等数据计算需求,ACK Serverless集群 可以在短时间内启动大量Pod及时处理任务,计算结束时Pod自动释放停止计费,极大降低整体计算成本。更多信息,请参见 通过ACK Serverless创建Spark计算任务。CI/CD 基于 ACK ...
自定义Kubernetes授权策略
apiVersion:rbac.authorization.k8s.io/v1 kind:Role metadata:name:test-role namespace:default rules:apiGroups:""resources:pods verbs:create-delete-deletecollection-get-list-patch-update-watch ClusterRole:集群维度 如果您需要...
ECI Platform Version兼容矩阵
ECI Platform Version版本 兼容的Kubernetes版本 1.1.0 1.12、1.14、1.16、1.18、1.20、1.22、1.24、1.26 1.0.0 1.12、1.14、1.16、1.18、1.20、1.22、1.24 空(k8s.aliyun.com/eci-platform-version 的Annotation不存在)1.12、1.14、1.16...
常见问题旧版索引
创建一个K8s集群,为什么会多出来两个SLB?Ingress组件需要安装吗?K8s的容器需要访问RDS实例,RDS白名单该如何设置?怎么把已经购买的ECS添加到K8s集群中?服务运行 如何部署集群的第一个应用?集群中的应用A如何访问应用B?如何将集群内...
采集指定虚拟节点的Metrics
regex:(.*)target_label:job replacement:${1} action:replace-source_labels:[_meta_kubernetes_service_label_k8s_app]separator:;regex:(.+)target_label:job replacement:${1} action:replace-separator:;regex:(.*)target_label:...
使用容器内部操作审计功能
代码配置为:kind:Command|select"clusterid","time","traceId","eventId","k8s.user.aliuid","k8s.user.username",json_extract(k8s,'$.user.groups')as"k8s.user.groups","host.hostip","host.nodename","k8s.pod.namespace","k8s.pod....
历史功能发布记录(2020年及之前)
背景信息 容器服务ACK支持的Kubernetes(K8s)版本:v1.24、v1.22、v1.20。容器服务ACK支持的操作系统:CentOS 7.9、Alibaba Cloud Linux 3.2104、Alibaba Cloud Linux 2.1903、Windows Server 2019和Windows Server Core,Version 1909。...
(停止维护)ACK发布Kubernetes 1.18版本说明
核心组件 版本号 升级注意事项 Kubernetes 1.18.8 Kubernetes 1.18版本弃用部分常用的APIVersion。建议您在升级集群前对本文档中所列举的弃用APIVersion进行相应升级。Docker 19.03.5(containerd 1.2.10)无 etcd 3.4.3 无 CoreDNS 1.6.7 ...
调度负载至FPGA节点
在使用Kubernetes集群实现FPGA计算时,为了有效利用FPGA设备,可根据需要将应用调度到具有FPGA设备的节点上。本文介绍根据FPGA节点标签...type=ecs.f3-c4f1.xlarge beta.kubernetes.io/os=linux failure-domain.beta.kubernetes.io/region=...
采集指定虚拟节点的Metrics
regex:(.*)target_label:job replacement:${1} action:replace-source_labels:[_meta_kubernetes_service_label_k8s_app]separator:;regex:(.+)target_label:job replacement:${1} action:replace-separator:;regex:(.*)target_label:...
ECI Platform Version兼容矩阵
ECI Platform Version版本 兼容的Kubernetes版本 1.1.0 1.12、1.14、1.16、1.18、1.20、1.22、1.24、1.26 1.0.0 1.12、1.14、1.16、1.18、1.20、1.22、1.24 空(k8s.aliyun.com/eci-platform-version 的Annotation不存在)1.12、1.14、1.16...
使用须知
产品变更 产品维护 K8s版本 组件升级 系统恢复【CVE安全】漏洞修复公告 产品发布记录 容器服务 Serverless 版 的产品功能、Kubernetes版本、操作系统镜像、组件等的发布记录。功能发布记录 Kubernetes版本发布记录 操作系统镜像发布记录 ...
舰队管理概述
应用场景 ACK One 舰队管理适用于以下场景:多集群舰队控制面基于K8s控制面构建,提供标准Kubernetes API。多集群舰队可以接入多个K8s集群,非容器服务ACK集群,可以先通过注册集群接入。GitOps应用分发:托管开源ArgoCD,实现GitOps多集群...
使用须知
产品变更 产品维护 K8s版本 组件升级 系统恢复【CVE安全】漏洞修复公告 产品发布记录 容器服务ACK的产品功能、Kubernetes版本、操作系统镜像、运行时、组件等的发布记录。功能发布记录 Kubernetes版本发布记录 操作系统镜像发布记录 运行时...
ACK灵骏发布Kubernetes 1.20版本说明
说明 由于ACK中默认使用的Nginx Ingress Controller组件的限制,ACK中Ingress和IngressClass资源的networking.k8s.io/v1beta1 API可以正常被使用。【变更】集群内部署的Admission Webhook组件自签发的服务端证书需包含必要的SAN字段。当您...
为Pod配置QoS
Annotation Mean k8s.aliyun.com/network-priority: "guaranteed" 延迟敏感业务 k8s.aliyun.com/network-priority: "best-effort" 普通业务 k8s.aliyun.com/network-priority: "burstable" 大带宽业务 通过以下配置启用优先级控制策略。...
(停止维护)ACK发布Kubernetes 1.20版本说明
说明 由于ACK中默认使用的Nginx Ingress Controller组件的限制,ACK中Ingress和IngressClass资源的networking.k8s.io/v1beta1 API可以正常被使用。【变更】集群内部署的Admission Webhook组件自签发的服务端证书需包含必要的SAN字段。当您...
事件监控
设置 项目Project 为配置NPD时默认的SLS Project,选择 日志库Logstore 为自动创建的 k8s-event。单击 下一步,然后单击 确认安装完毕。在 日志服务管理控制台 Project列表 区域,单击目标Project名称。在左侧导航栏中,单击选择 仪表盘>...
上云须知
K8s应用安全 设置不同服务间互相访问的网络安全策略等。基础运维 监控配置:云监控、ARMS可供用户选择,提供全方位的集群及应用监控,并可根据阈值设定触发报警通知。云监控作为云服务的监控管理入口,能让您快速了解各产品实例的状态和...
ACK Edge发布Kubernetes 1.22版本说明
阿里云 容器服务 Edge ...单元化管理组件 节点池和单元化部署的CRD统一升级为apiextensions.k8s.io/v1版本。边缘节点接入 优化了边缘节点接入流程,支持增强型节点池内的节点通过集群内网地址与云端管控交互。更多信息,请参见 添加边缘节点。
(停止维护)ACK发布Kubernetes 1.16版本说明
位于extensions/v1beta1下的资源networkpolicies使用networking.k8s.io/v1替代。说明 为了更好地兼容您的业务,ACK会在Kubernetes 1.16.6版本开启对上述API的兼容,并在1.18版本再彻底废除对其支持。建议您尽快调整这些API。已废弃的...
【产品变更】ACK关于K8s Dashboard功能下线公告
阿里云容器服务ACK从K8s 1.18版本开始,已不再支持K8s Dashboard功能。如果您需要继续使用Dashboard功能,建议您在应用目录中安装kubernetes-dashboard应用。登录 容器服务管理控制台 安装kubernetes-dashboard。
- 产品推荐
- 这些文档可能帮助您