runC容器和安全沙箱(runV)容器的区别
runC容器和安全沙箱(runV)容器方案对比 配置 runC容器 安全沙箱(runV)容器 容器引擎 Docker、Containerd Containerd 容器所在节点型号 ECS、EBM EBM 容器内核 与宿主机共享内核 独占内核 容器隔离方式 Cgroups和Namespace 轻量虚拟机 ...
安全沙箱概述
相比于原有Docker运行时,安全沙箱为您提供了一种新的容器运行时选项,可以让您的应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核,具备更好的安全隔离...runC容器和安全沙箱(runV)容器的区别 为什么选择安全沙箱?创建安全沙箱节点池
创建无状态工作负载Deployment
关于ACR的更多信息,请参见 什么是容器镜像服务ACR。容器镜像服务个人版:可以选择托管在容器镜像服务ACR中的个人版镜像。需要选择镜像所属地域,以及镜像服务实例。制品中心:包含应用容器化基础OS镜像、基础语言镜像、AI/大数据相关镜像...
支持的云服务
什么是容器服务Kubernetes版 容器镜像服务ACR 容器镜像服务ACR是面向容器镜像、Helm Chart等符合OCI标准的云原生制品安全托管及高效分发平台。您可以使用ACR来管理容器镜像,拉取ACR中的镜像来创建ECI实例。什么是容器镜像服务ACR 网络 ...
常见问题旧版索引
入门FAQ 方案规划 容器服务ACK中使用容器运行应用的大致流程是什么?容器服务ACK与阿里云其他产品一起使用的推荐方案是什么?如何选择容器服务ACK的集群类型?如何规划集群容量?ECS服务器怎么选型?如何选择阿里云容器镜像服务ACR个人版和...
弹性容器实例系统权限策略参考
什么是系统权限策略 权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制(RAM)产品提供了两种类型的权限策略:系统策略和自定义策略。系统策略统一由阿里云创建,策略的版本...
方案规划
容器服务ACK中使用容器运行应用的大致流程是什么?容器服务ACK与阿里云其他产品一起使用的推荐方案是什么?如何选择容器服务ACK的集群类型?如何规划集群容量?ECS服务器怎么选型?如何选择阿里云容器镜像服务ACR个人版和企业版?线上或线...
产品简介
阿里云 容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)是全球首批通过Kubernetes一致性认证的服务平台,提供高性能的容器应用管理服务,支持企业级Kubernetes容器化应用的生命周期管理,让您轻松高效地在云端运行...
设置容器启动命令和参数
ECI实例通过容器镜像中的预设参数来启动容器。如果您在构建镜像时没有设置启动命令和参数,或者想要变更启动命令和参数,可以在创建ECI实例时设置。本文介绍如何为容器设置启动时要执行的命令和参数。功能说明 如果您想覆盖镜像中设置的...
基本概念
您可以将外部数据卷挂载到指定的容器组,容器组中声明的数据卷由容器组中的所有容器共享。标签(Tag)标签是附加在容器组上的一系列Key/Value键值对。标签需要在创建容器组时赋予,每个容器组最多可以拥有10个标签,其中key值必须唯一。...
设置容器启动命令和参数
ECI Pod(即ECI实例)通过容器镜像中的预设参数来启动容器。如果您在构建镜像时没有设置启动命令和参数,或者想要变更启动命令和参数,可以在创建ECI Pod时设置。通过设置容器启动命令和参数,可以定义容器的启动行为和初始化过程,保证...
设置容器启动命令和参数
ECI Pod(即ECI实例)通过容器镜像中的预设参数来启动容器。如果您在构建镜像时没有设置启动命令和参数,或者想要变更启动命令和参数,可以在创建ECI Pod时设置。通过设置容器启动命令和参数,可以定义容器的启动行为和初始化过程,保证...
什么是弹性容器实例
阿里云弹性容器实例(Elastic Container Instance)是敏捷安全的Serverless容器运行服务。您无需管理底层服务器,也无需关心运行过程中的容量规划,只需要提供打包好的Docker镜像,即可运行容器,并仅为容器实际运行消耗的资源付费。产品...
管理容器组(Pod)
容器组(Pod)是Kubernetes中最小的可部署单元。Pod代表了Kubernetes中一个独立的应用程序运行实例,该实例可能由单个容器或者几个紧耦合在一起的容器组成。您可以在容器服务控制台上查看Pod、变更Pod配置以及手动伸缩容器应用。前提条件 ...
资源画像
ACK为K8s原生的工作负载提供了资源画像的能力,通过对资源使用量历史数据的分析,实现了容器粒度的资源规格推荐,可以有效简化为容器配置Request和Limit的复杂度。本文介绍如何通过控制台和命令行使用资源画像功能。前提条件及注意事项 仅...
设置容器终止消息
在Kubernetes中,terminationMessagePath和terminationMessagePolicy用于指定容器终止消息的来源路径和策略。本文介绍如何设置terminationMessagePath和terminationMessagePolicy,以便在容器终止后能够及时获取和分析终止消息。配置说明 ...
设置容器终止消息
在Kubernetes中,terminationMessagePath和terminationMessagePolicy用于指定容器终止消息的来源路径和策略。本文介绍如何设置terminationMessagePath和terminationMessagePolicy,以便在容器终止后能够及时获取和分析终止消息。配置说明 ...
挂载EmptyDir数据卷
EmptyDir数据卷是一个空的目录,用于临时存放数据,便于容器之间共享数据。本文介绍如何挂载EmptyDir数据卷。注意事项 EmptyDir为临时存储,当ECI实例删除或重启时,EmptyDir数据卷中保存的数据均会被清空。配置说明(OpenAPI)调用...
为容器节点添加数据盘
容器节点下载镜像的操作,例如运行容器运行时、存储容器的临时存储、记录容器的stdout日志等,会占用大量系统盘资源。影响节点运行的稳定性。您可以使用数据盘作为Kubelet和容器运行时的根目录,从而节省系统盘的资源,提升节点运行的稳定...
使用SysOM定位容器内存问题
为解决因容器引擎层的不透明性而导致的故障排查困难问题,阿里云 容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)团队推出操作系统内核层的容器监控可观测能力,为您提供更可靠、透明的容器引擎层,助力您更顺利地进行...
产品优势
弹性容器实例为您提供免运维、弹性、低成本、高效的容器运行环境。核心优势 弹性容器实例的核心优势主要体现在以下几方面:免运维 采用Serverless架构,基础设施托管。您无需关心底层服务器,只需要提交容器镜像;无需预先创建集群和维护...
设置容器启动和退出顺序
例如:B容器依赖A容器提供服务,则在设置A容器的启动优先级高于B容器的同时,还需要为A容器配置Readiness Probe,确保A容器准备就绪后才启动B容器。容器退出优先级 ECI_CONTAINER_EXIT_PRIORITY 取值范围为-1000~1000,默认值为0。数值越大...
忽略Sidecar容器的NotReady状态
当您采用Sidecar容器的形式实现类似DaemonSet的效果时,如果Sidecar容器的状态为NotReady,会导致Pod状态为NotReady。某些场景下,如果您不希望Sidecar容器的状态影响整个Pod状态,可以通过环境变量的方式,设置忽略Sidecar容器的NotReady...
功能特性
本文介绍弹性容器实例的功能特性。容器运行服务 弹性容器实例是敏捷安全的Serverless容器运行服务。一个ECI实例对应一个容器组(即一个Pod),包含vCPU、内存、操作系统、容器运行时、网络、临时存储等基础组件。更多信息,请参见 实例概述...
设置容器启动和退出顺序
例如:B容器依赖A容器提供服务,则在设置A容器的启动优先级高于B容器的同时,还需要为A容器配置Readiness Probe,确保A容器准备就绪后才启动B容器。容器退出优先级 ECI_CONTAINER_EXIT_PRIORITY 取值范围为-1000~1000,默认值为0。数值越大...
ack-advanced-audit
ack-advanced-audit是实现容器内部操作审计的关键组件。本文介绍ack-advanced-audit组件信息、使用说明及变更记录。索引 组件介绍 使用说明 变更记录 组件介绍 ack-advanced-audit组件基于开源项目 Falco,使用内核提供的eBPF特性,实现了...
使用镜像缓存加速创建ECI实例
通过控制台创建实例 在 弹性容器实例控制台 的 容器组 页面,单击 创建弹性容器组。配置实例相关参数。您可以在 容器组配置 区域展开 高级配置,然后选中 自动匹配镜像缓存。系统将自动匹配和使用最佳的镜像缓存。如果没有匹配到,系统将...
强制终止Sidecar容器并忽略容器退出码
当您采用Sidecar容器的形式实现类似DaemonSet的效果时,可能会出现Job类Pod无法运行完成的情况,此时可以通过设置环境变量的方式,为Sidecar容器标记容器类型,并设置忽略Sidecar容器的退出码,以保证Job可以正常运行完成。功能说明 在ACK ...
使用和集成ECI Terminal
ECI提供Terminal方便您与容器内部进行交互并执行命令,您可以通过浏览器打开Terminal,也可以将Terminal集成到自有系统中。本文为您介绍如何使用ECI Terminal,以及如何将ECI Terminal集成到自有系统中。使用ECI Terminal 您在使用ECI的...
挂载ConfigFile数据卷
配置说明(控制台)通过 弹性容器实例售卖页 创建ECI实例时,您可以在 容器组配置 区域声明数据卷,然后在 容器配置 区域,将数据卷挂载到容器中。声明数据卷 在 容器组配置 区域,展开 高级配置。在 存储 处选择 配置项 页签,单击 添加。...
如何选择Docker运行时、Containerd运行时、或者安全...
镜像和容器已然成为应用的打包和交付标准。Kubernetes成为了整个容器云原生应用的标准OS,越来越多的企业和用户选择在ACK中部署自己的应用。容器服务Kubernetes版(ACK)支持Containerd、Docker、安全沙箱三种运行时。本文通过对比三种运行...
源服务器迁移至容器镜像
SMC支持将Linux源服务器迁移为容器镜像,然后通过容器镜像部署容器应用,实现低成本容器化应用迁移。容器的优势在于提高了资源利用率,降低了计算成本,自动化管理调度及低风险的快速部署。本文介绍Linux源服务器迁移至容器镜像的操作步骤...
异构计算集群概述
阿里云容器服务ACK支持对各种异构计算资源进行统一调度和运维管理,能够显著提高异构计算集群资源的使用效率。本文介绍阿里云容器服务ACK支持的异构计算集群。背景信息 随着5G、人工智能、HPC(High Performance Computing)、边缘计算等...
如何选择Docker运行时、Containerd运行时、或者安全...
镜像和容器已然成为应用的打包和交付标准。Kubernetes成为了整个容器云原生应用的标准OS,越来越多的企业和用户选择在ACK中部署自己的应用。容器服务Kubernetes版(ACK)支持Containerd、Docker、安全沙箱三种运行时。本文通过对比三种运行...
使用配置巡检功能检查注册集群Workload安全隐患
示例:tagNotSpecified 通过检查Workload的Pod Spec中的 image 字段的值是否未包含镜像Tag或者使用了latest作为镜像Tag,检查是否未配置运行容器时使用指定Tag的容器镜像。如果未配置,存在运行容器时运行了非预期的容器镜像版本导致业务...
使用安全监控
安全监控提供监控和告警能力,包括恶意镜像启动、病毒和恶意程序的查杀、容器内部入侵行为、容器逃逸和高风险操作预警等主要的容器侧攻击行为。本文介绍如何使用安全监控功能。前提条件 已创建Kubernetes集群,具体操作,请参见 创建...
漏洞CVE-2021-41103公告
Containerd社区公布了安全漏洞CVE-2021-41103,该漏洞源于Containerd中的缺陷,在容器根目录和一些系统插件中缺少必要的权限约束时,可使一个非特权的主机Linux用户拥有遍历容器文件系统并执行目标程序的权限。本文介绍该漏洞的影响和影响...
挂载OSS数据卷
配置说明(控制台)通过 弹性容器实例售卖页 创建ECI实例时,您可以在 容器组配置 区域声明数据卷,然后在 容器配置 区域,将数据卷挂载到容器中。声明数据卷 在 容器组配置 区域,展开 高级配置。在 存储 处选择 OSS持久化存储 页签,单击...
Pod安全
在 容器服务 Kubernetes 版 中,您可以通过限制容器以特权模式运行、限制应用程序进程以root身份运行以及禁用Service Account令牌自动挂载等方式,防止容器中运行的进程逃离容器的隔离边界并获得对宿主机的访问权限。通过正确配置Pod安全...
挂载NAS数据卷
配置说明(控制台)通过 弹性容器实例售卖页 创建ECI实例时,您可以在 容器组配置 区域声明数据卷,然后在 容器配置 区域,将数据卷挂载到容器中。声明数据卷 在 容器组配置 区域,展开 高级配置。在 存储 处选择 NAS持久化存储 页签,单击...
- 产品推荐
- 这些文档可能帮助您