创建安全沙箱应用
所需资源 即为该应用预留资源额度,包括CPU和内存两种资源,即容器独占该资源,防止因资源不足而被其他服务或进程争夺资源,导致应用不可用。容器启动项 stdin:表示为该容器开启标准输入。tty:表示为该容器分配一个虚拟终端,以便于向...
使用镜像创建无状态应用
所需资源 即为该应用预留资源额度,包括 CPU 和 内存 两种资源,即容器独占这些资源,防止因资源不足而被其他服务或进程争夺资源,导致应用不可用。容器启动项 stdin:将控制台输入发送到容器。tty:将标准输入控制台作为容器的控制台输入...
容灾演练断网方式说明
使用场景 机房级业务整体不可用。机房级云服务不可用。机房级云基础设施不可用。使用限制 可用区断网基于VPC网络ACL的高级特性。若VPC不支持高级特性,则无法使用可用区断网方式。更多信息,请参见 VPC高级功能。如果您可用区内的ECS实例...
OSS存储卷FAQ
OSS存储卷挂载失败 集群升级后容器内OSS挂载目录不可用 OSS存储卷挂载时间延长 OSS存储卷挂载失败 问题现象:OSS存储卷挂载失败。问题原因:使用的AccessKey不正确。OSS存储卷挂载使用的URL无法访问网络。解决方法:使用正确的AccessKey。...
MSE Ingress FAQ
本文介绍您在使用MSE Ingress过程中遇到的常见问题,以及处理方法。问题一:云原生网关支持MSE ...您可以将鼠标放在 不可用 状态来查看不可用的原因。您可 登录MSE网关管理控制台,在 域名管理 或 路由管理 页面,查看域名或路由的可用情况。
集群异常状态
ACK会定时检测集群运行状态,如果集群符合特定的异常条件,集群状态将自动变更为“不活跃(inactive)”或“不可用(unavailable)”。集群变更为“不活跃”或“不可用”状态时,ACK将会通过短信、邮件、站内信的方式向您发送相关通知。...
设置容器启动和退出顺序
优先级高的容器保证会在优先级低的容器启动之前启动,相同优先级的容器不保证启动顺序(并发启动)。如果某容器依赖上一个容器提供服务,需要为容器配置Readiness Probe。例如:B容器依赖A容器提供服务,则在设置A容器的启动优先级高于B...
设置容器启动和退出顺序
优先级高的容器保证会在优先级低的容器启动之前启动,相同优先级的容器不保证启动顺序(并发启动)。如果某容器依赖上一个容器提供服务,需要为容器配置Readiness Probe。例如:B容器依赖A容器提供服务,则在设置A容器的启动优先级高于B...
Ingress FAQ
本文汇总了使用Nginx Ingress、ALB Ingress和MSE Ingress时出现的常见问题。Nginx Ingress Ingress支持哪些SSL/TLS版本?Ingress L7请求头默认是透传的吗?...Ingress L7透传客户端IP吗...为什么云原生网关的域名或者路由在控制台上显示不可用?
在离线混部概述
神龙裸金属节点提供了动态调整容器可用的CPU缓存LLC(Last Level Cache)和内存带宽MBA(Memory Bandwidth Allocation)的能力,ack-koordinator通过对BE容器进程的细粒度资源限制,避免干扰LS容器的性能。后续操作 您可以参考 快速入门,...
使用tcpdump抓包分析网络问题
背景信息 容器出现网络异常时,您可能需要抓取网络报文来分析定位问题,但实际操作时可能会碰到以下问题:抓包需要使用exec进入容器,但网络异常时,容器不一定处于运行状态,您可能无法使用exec进入容器。抓包需要使用tcpdump工具,但容器...
创建Windows节点池
说明 ACK通过预留资源机制,可以减少或避免因Windows工作负载的过度分配而导致Windows节点完全不可用的场景产生。但当Windows容器应用发生内存泄露时,依然存在击垮Windows节点的可能性。Windows容器有一定的Footprint。更多信息,请参见 ...
删除集群
如果您无需使用某个集群,或由于集群误操作(例如删除了API Server的SLB)导致集群不可用等原因需要删除集群,您可以通过容器服务管理控制台删除。注意事项 删除集群前,请您手动清理工作负载(无状态、有状态、任务和定时任务),否则可能...
向虚拟节点Pod注入Sidecar容器
您可以使用OpenKruise已有的 Sidecar热升级 功能,该方式能在不影响Pod可用性情况下无缝升级Sidecar容器,且与当前虚拟节点方式完全兼容。日志收集 通过将虚拟节点Pod标准输出日志卷挂载到Sidecar容器指定目录,可以收集业务容器的日志。...
向虚拟节点Pod注入Sidecar容器
您可以使用OpenKruise已有的 Sidecar热升级 功能,该方式能在不影响Pod可用性情况下无缝升级Sidecar容器,且与当前虚拟节点方式完全兼容。日志收集 通过将虚拟节点Pod标准输出日志卷挂载到Sidecar容器指定目录,可以收集业务容器的日志。...
创建任务工作负载Job
所需资源 为该应用预留资源额度,包括CPU、内存和Ephemeral-Storage三种资源,即容器独占这些资源,防止因资源不足而被其他服务或进程争夺资源,导致应用不可用。关于设置所需资源的更多信息,请参见 资源画像。容器启动项 stdin:表示为该...
历史功能发布记录(2021年)
本文介绍容器服务ACK 2021年功能发布的相关动态。背景信息 容器服务ACK支持的Kubernetes(K8s)版本:v1.24、v1.22、v1.20。容器服务ACK支持的操作系统:CentOS 7.9、Alibaba Cloud Linux 3.2104、Alibaba Cloud Linux 2.1903、Windows ...
创建有状态工作负载StatefulSet
所需资源 为该应用预留资源额度,包括CPU、内存和Ephemeral-Storage三种资源,即容器独占这些资源,防止因资源不足而被其他服务或进程争夺资源,导致应用不可用。关于设置所需资源的更多信息,请参见 资源画像。容器启动项 stdin:表示为该...
创建无状态工作负载Deployment
所需资源 为该应用预留资源额度,包括CPU、内存和Ephemeral-Storage三种资源,即容器独占这些资源,防止因资源不足而被其他服务或进程争夺资源,导致应用不可用。关于设置所需资源的更多信息,请参见 资源画像。容器启动项 stdin:表示为该...
漏洞CVE-2022-0185公告
}{.metadata.name}{"\t"}{.status.nodeInfo.kernelVersion}{""}{end}' 漏洞影响 在多租场景下,有应用部署或Pod exec权限的攻击者可以利用漏洞触发条件绕过校验实现内存的越界写入,从而导致节点系统崩溃,服务不可用;另外攻击者还可以...
安全沙箱兼容性说明
背景信息 安全沙箱作为一种新的容器运行时,除了在创建安全沙箱(runV)容器时不支持Pod层面的个别字段之外,其他兼容性与runC容器一致,如Pod(Container)网络、Service网络(ClusterIP、NodePort)、镜像等等。用户在使用安全沙箱容器...
漏洞CVE-2022-31030公告
近日Containerd社区披露了CRI实现中的漏洞,在调用ExecSync API时,容器内的程序可以不受约束地消耗内存,从而导致Containerd消耗容器所在节点的所有可用内存,完成DoS攻击。在K8s Probe和容器Lifecycle Hooks中的exec机制均可触发该攻击。...
配置Security Context
Security Context(安全上下文)用于控制和管理容器内进程权限,可以限制容器内进程的行为,确保容器内进程只能运行在给定的权限和资源限制下。本文介绍如何为Pod或者Container配置Security Context,定义Pod或者Container的权限和访问控制...
配置Security Context
Security Context(安全上下文)用于控制和管理容器内进程权限,可以限制容器内进程的行为,确保容器内进程只能运行在给定的权限和资源限制下。本文介绍如何为Pod或者Container配置Security Context,定义Pod或者Container的权限和访问控制...
使用coredump分析实例程序异常
背景信息 ECI默认关闭coredump,避免磁盘占用过多而导致业务不可用。您可以手动开启coredump,开启后会生成一个运维任务。在容器运行异常终止或者退出时,触发coredump生成的core文件将自动保存到OSS中。使用限制 生成的运维任务为一次性...
什么是故障演练
适用场景 故障演练可适用于以下典型场景:衡量微服务的容错能力 通过模拟调用延迟、服务不可用、机器资源满载等,查看发生故障的节点或实例是否被自动隔离、下线,流量调度是否正确,预案是否有效,同时观察系统整体的QPS或RT是否受影响。...
ContainerOS概述
同时,通过与容器服务ACK联合优化,ContainerOS可大大缩短Kubernetes节点因为运维导致的不可用时间,有利于业务的平稳运行。Alibaba Cloud Linux 3兼容 ContainerOS内核版本以及绝大部分软件包与Alibaba Cloud Linux 3完全保持一致,采用...
指定ECS规格创建实例
默认情况下,多个容器可以共享使用GPU,配置时需确保单个容器内配置的GPU个数不超过指定的GPU规格所具备的GPU个数。OpenAPI 调用CreateContainerGroup接口创建ECI实例时,在通过InstanceType参数指定ECS GPU实例规格的基础上,还需要通过...
使用ReadinessGate实现ALB Ingress后端Pod滚动升级时...
探针种类 作用 存活探针(LivenessProbe)用于判断容器是否存活,如果LivenessProbe探针探测到容器不健康,kubelet将kill掉该容器,并根据容器的重启策略做相应的处理。如果一个容器不包含LivenessProbe探针,那么kubelet认为该容器的...
容器内存QoS
该特性目前处于Alpha状态,仅支持Linux cgroups v2(要求内核版本不低于4.15,且和cgroups v1不兼容,启用会影响节点上所有容器)。ACK容器内存QoS在cgroups v1上支持了该特性,并额外提供内存后台回收和最低水位线分级等性能优化和差异化...
通过ACK控制台快速搭建魔方游戏
所需资源 根据需要为该应用指定预留的资源额度,防止因资源不足而导致应用不可用。0.5 Core,内存512 MiB,Ephemeral Storage为空。端口 设置容器的端口。ack-cube,80,TCP。单击 下一步,在 高级配置 页签,单击 服务(Service)右侧的 ...
云盘FAQ
问题原因 当前可用区不支持创建指定StorageClass类型的云盘,或者当前可用区内当前指定类型的库存不足。解决方案 使用自定义StorageClass声明多种类型的云盘。更多信息,请参见 使用云盘动态存储卷。也可将CSI升级至最新版本,使用名称为...
Runtime安全
Runtime安全为运行中的容器提供主动防护,主要实现方法是检测并阻止容器内发生恶意活动,减少应用程序的攻击面。通过Seccomp等手段限制容器应用对内核进行系统调用 配置容器或Pod以使用Seccomp配置文件 Linux操作系统有几百个系统调用,但...
设置边缘节点自治
当边缘节点被设置为非自治状态时,如果边缘节点和云端管控断连,节点因不能正常地将心跳上报至管控端,而会被设置为 不可用(not ready)状态,且节点上的应用在到达容忍时间之后将会被驱逐。操作步骤 登录 容器服务管理控制台,在左侧导航...
自定义节点池kubelet配置
已手动管理内存资源预留(systemReserved、kubeReserved、evictionHard、reservedMemory)并确保配置正确,即 kube-reserved+system-reserved+eviction-hard=sum(reserved-memory),以避免节点不可用。您可以参见下图示例。更多信息,请...
使用Prometheus配置报警规则的最佳实践
节点不可用可由多种原因导致,您可以通过检查节点的Condition来判断是否有常见异常,例如内存压力过大、磁盘空间满等。宿主机水位异常 节点内存水位高于80%Warning node_memory_MemAvailable_bytes/node_memory_MemTotal_bytes*100节点内存...
配置安全沙箱Pod内核参数
由于runC Pod与主机共享内核,存在以下问题:虽然特权容器几乎拥有与主机进程一样的访问权限,但在修改Sysctl参数或非安全的Sysctl参数时,可能会影响其他Pod或者导致节点不可用等问题。无法为同一节点上的不同Pod分别定制非命名空间的内核...
使用SysOM定位容器内存问题
为解决因容器引擎层的不透明性而导致的故障排查困难问题,阿里云 容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)团队推出操作系统内核层的容器监控可观测能力,为您提供更可靠、透明的容器引擎层,助力您更顺利地进行...
使用须知及高危风险操作说明
阿里云容器服务Kubernetes版(简称容器服务ACK)提供容器服务相关的技术架构以及核心组件的托管服务,对于非托管组件以及运行在ACK集群中的应用,不当操作可能会导致业务故障。为了更好地预估和避免相关的操作风险,在使用容器服务ACK前,...
使用OpenKruise部署云原生应用
maxUnavailable:发布过程中,限制最多不可用的Pod数量,可以设置为一个绝对值或者百分比。gracePeriodSeconds:每个Pod原地升级前Not Ready优雅等待时间。使 cloneset.yaml 在ACK集群中生效。kubectl create-f./cloneset.yaml 预期输出:...
- 产品推荐
- 这些文档可能帮助您