ECI Pod概述
不支持的功能 说明 推荐替代方案 HostPath 挂载本地宿主机文件到容器中 使用emptyDir、云盘或者NAS文件系统 HostNetwork 将宿主机端口映射到容器上 使用type=LoadBalancer的负载均衡 DaemonSet 在容器所在宿主机上部署Static Pod 通过...
修复漏洞CVE-2021-30465公告
Open Containers社区披露了runC相关的漏洞,攻击者通过创建恶意Pod,利用符号链接以及条件竞争漏洞将宿主机目录挂载至容器中,最终可能导致容器逃逸问题。本文介绍该漏洞,以及该漏洞影响、影响范围和防范措施。漏洞描述 对于K8s集群,攻击...
搭建具备大模型和向量检索功能的知识库应用程序
修改参数 db.dbType 为 adb,并填写 db.adb 中的数据库信息。db:dbType:adb embeddingModel:text2vec-bge-large-chinese adb:pgHost:"pg.host.demo....
使用限制
不支持的功能 说明 推荐替代方案 HostPath 挂载本地宿主机文件到容器中 使用emptyDir、云盘或者NAS文件系统 HostNetwork 将宿主机端口映射到容器上 使用type=LoadBalancer的负载均衡 DaemonSet 在容器所在宿主机上部署Static Pod 通过...
安全沙箱的NAS直挂
示例 以下通过创建NAS实例及使用YAML模板创建资源对象举例说明如何在安全沙箱容器中挂载NAS卷。创建一个NAS实例。具体操作,请参见 通过控制台创建通用型NAS文件系统。重要 NAS实例的VPC需要和集群的VPC一致。获取到NAS实例挂载点地址,如...
通过控制台使用动态云盘卷
本例中配置了一个云盘类型的存储卷,将该云盘挂载到容器中/tmp 路径下,在该路径下生成的容器数据会存储到云盘中。所有的信息都配置完成后,单击 创建。创建成功后,您就可以正常使用数据卷。您也可以通过命令行的方式使用动态云盘卷,请...
使用场景
eci run-w 5 centos:8.1.1911 sleep 3600 ECI实例启动完成后,可以通过 exec 命令登录到实例容器中。假设实例ID为 eci-uf60grb03kz2nlm2*,则命令如下:eci exec-ti eci-uf60grb03kz2nlm2*bash 训练简易模型 以下示例中,准备了一个示例...
Pod诊断
Pod的Sandbox容器创建失败。Pod长期处于terminating状态。Pod中容器发生OOM异常。Pod中容器异常退出。Pod中容器处于CrashLoopBackOff状态。Pod中容器NotReady。Pod拉取镜像出错。Pod拉取镜像超时。AI智能诊断 Pod状态异常。Pod发生OOM异常...
使用容器水平伸缩(HPA)
本例中绑定名为 nginx 的Deployment,在确保所有Pod中容器的平均CPU使用率达到50%时触发扩缩操作。v1.24及以上 apiVersion:autoscaling/v2 kind:HorizontalPodAutoscaler metadata:name:nginx-hpa spec:scaleTargetRef:apiVersion:apps/v1 ...
在容器组中使用配置项
您可以使用配置项设置容器中的命令或参数值,使用环境变量替换语法$(VAR_NAME)进行。配置示例如下:apiVersion:v1 kind:Pod metadata:name:config-pod-3 spec:containers:name:test-container image:busybox command:["/bin/sh","-c","echo...
操作系统Alibaba Cloud Linux 2(停止维护)
ACK目前已经全面支持Alibaba Cloud Linux 2的节点创建,并结合Alibaba Cloud Linux 2的高内核特性提供了多场景的优化。本文介绍ACK中使用Alibaba Cloud Linux 2操作系统的优势,以及ACK基于Alibaba Cloud Linux 2提供的多场景优化。重要 ...
在容器组中使用配置项
您可以使用配置项设置容器中的命令或参数值,使用环境变量替换语法$(VAR_NAME)进行。配置示例如下:apiVersion:v1 kind:Pod metadata:name:config-pod-3 spec:containers:name:test-container image:busybox command:["/bin/sh","-c","echo...
使用coredump分析实例程序异常
Container.1.Name=nginx Container.1.Image=registry-vpc.cn-beijing.aliyuncs.com/eci_open/nginx:1.14.2 Container.1.VolumeMount.1.Name=volume1 Container.1.VolumeMount.1.MountPath=/data/dump-b/ 在实例B的容器中查看core文件。...
漏洞CVE-2021-41103公告
如果非特权的主机Linux用户UID碰撞到了容器中执行程序的所属用户或组,这个非特权的Linux用户可以读写该文件从而导致越权访问。防范措施 保证集群节点登录用户都是可信用户,限制非受信用户对集群节点的访问权限。收敛容器bundles目录中...
服务运行
当容器中进程尝试使用超出所允许内存量的资源时,系统内核会将尝试申请内存的进程终止,并引发内存不足(OOM)的错误提示。约束值以被动方式来实现(系统会在发现违例时干预),或者通过强制生效的方式实现(系统会避免容器用量超出约束值...
存储基础知识
数据卷(Volume)因为容器中的文件在磁盘上是临时存放的,所以Kubernetes定义了数据卷(Volume)以解决容器中的文件因容器重启而丢失的问题。数据卷(Volume)是Pod与外部存储设备进行数据传递的通道,也是Pod内部容器间、Pod与Pod间、Pod...
DescribeContainerGroups-批量查询容器组信息
如果未设置,则容器中标准输入的读取值将导致 EOF。默认为 false。true Name string 容器名称。nginx EnvironmentVars object[]环境变量。Key string 环境变量名。PATH Value string 环境变量值。usr/bin/ValueFrom object 环境变量值的...
故障排查
您可以查看容器的日志,以诊断容器中应用程序出现的问题。具体操作,请参见 Pod状态为Crash或者Unhealthy。Pod状态为Running但是没有正常工作 通常是由部署使用的YAML文件中存在的部分字段拼写错误造成的,您可以通过校验部署来进行故障...
挂载云盘数据卷
挂载数据卷 声明数据卷后,可以通过VolumeMount相关参数将数据卷挂载到容器中。名称 类型 示例值 描述 Container.N.VolumeMount.N.Name String test-volume 要挂载到容器的数据卷的名称,对应Volume.N.Name的值。Container.N.VolumeMount.N...
数据加密和密钥管理
kubectl create-f sc-pvc.yaml 密钥管理 Kubernetes作为编排引擎为应用开发者提供了Secrets模型,用于在应用Pod中加载和使用敏感信息,例如数据库密码、应用证书、认证Token等。Secrets相关概念如下。Secrets是一个Namespace维度的模型,...
集群概述
开放安全管理,并提供针对运行中容器更强的检测和自动修复能力的安全管理高级版。SLA保障:提供赔付标准的SLA保障,集群API Server的可用性达到99.95%。产品定价 ACK Serverless集群Pro版计费说明 集群对比 ACK Serverless集群Pro版 和 ACK...
应用FAQ
在任意节点上执行 curl[$IP]:[$Port]命令,查看Pod中容器的端口是否正常。如何手动升级Helm的版本?登录到Kubernetes集群。更多信息,请参见 获取集群KubeConfig并通过kubectl工具连接集群。执行以下命令安装Tiller。其中镜像地址可使用...
历史功能发布记录(2020年及之前)
全部 无 ACK支持共享VPC 共享VPC允许多个账号在一个集中管理、共享的VPC内创建云资源,例如云服务器ECS、负载均衡SLB、云数据库RDS等。共享VPC基于资源共享RS(Resource Sharing)机制。VPC的所有者可以将VPC内的交换机共享给其阿里云企业...
sgx-device-plugin
组件介绍 sgx-device-plugin是由阿里云容器服务团队和蚂蚁金服安全计算团队针对Intel SGX联合开发的Kubernetes Device Plugin,便于让您在容器中使用SGX。Intel(R)Software Guard Extensions(Intel(R)SGX)是Intel为软件开发者提供的安全...
在Windows容器中使用基于DirectX的GPU加速
本文介绍在Windows节点如何安装DirectX设备插件以及在Windows容器中如何使用基于DirectX构建的GPU加速功能。前提条件 已创建 ACK托管集群,且集群版本为v1.20.4及以上。具体操作,请参见 创建Kubernetes托管版集群。已通过kubectl连接ACK...
自建Kubernetes集群对接ECI
不支持的功能 说明 推荐替代方案 HostPath 挂载本地宿主机文件到容器中 使用emptyDir、云盘或者NAS文件系统 HostNetwork 将宿主机端口映射到容器上 使用type=LoadBalancer的负载均衡 DaemonSet 在容器所在宿主机上部署Static Pod 通过...
ACK-TEE机密计算介绍
ACK-TEE机密计算和ACK安全沙箱配合工作的应用场景 传统OS(操作系统)容器攻击模型 传统OS容器(或称为RunC容器)和宿主机共享Kernel,当内核出现漏洞,容器中恶意应用(如三方或您的应用)会利用漏洞逃逸并渗透到后端系统,危害其他应用和...
ACK集群Pro版概述
etcd容灾和备份恢复,冷热备机制最大程度保障集群数据库的可用性;管控组件的关键指标可观测,助力您更好地预知风险。更安全的容器集群:管控面etcd默认采用加密盘存储;数据面通过选择安装kms-plugin组件实现Secrets数据落盘加密。开放...
HostPath数据卷
说明 本方案依赖Linux中 mountPropagation 的Bidirectional属性,可以将主机挂载目录映射到容器中。目标Pod必须具有Privilege权限(Bidirectional需求)。目标Pod需要挂载一个主机目录,并配置Bidirectional,运行中的容器依赖该目录接收...
ACK Edge集群Pro版介绍
功能特点 更可靠的托管Master节点:ETCD容灾和备份恢复,冷热备机制最大程度保障集群数据库的可用性;管控组件的关键指标可观测,助力您更好地预知风险。更安全的容器集群:管控面ETCD默认采用加密盘存储;数据面通过安装kms-plugin组件...
Serverless数据访问概述
Injector:负责将不同数据访问、Runtime实现信息转换为Sidecar可以识别的信息,注入到读取数据的应用中,同时控制应用中容器的启动顺序。该应用不限于Pod,还包括类似Spark、TFJob、MPIJob等大数据AI场景下常见的工作负载。Cache Runtime ...
资源画像
ACK为K8s原生的工作负载提供了资源画像的能力,通过对资源使用量历史数据的分析,实现了容器粒度的资源规格推荐,可以有效简化为容器配置Request和Limit的复杂度。本文介绍如何通过控制台和命令行使用资源画像功能。前提条件及注意事项 仅...
历史功能发布记录(2021年)
本文介绍容器服务ACK 2021年功能发布的相关动态。...全部 注册集群概述 发布容器网络文件系统CNFS 1.0 CNFS通过将阿里云的文件存储抽象为一个Kubernetes对象(CRD)进行声明式管理,包括创建、删除、限额、挂载、监控及扩容等操作...
容器网络FAQ
ACK容器网络数据链路 ACK容器网络数据链路(Flannel)ACK容器网络数据链路(Terway ENI)ACK容器网络数据链路(Terway ENIIP)ACK容器网络数据链路(Terway IPVLAN+Terway)ACK容器网络数据链路(Terway ENI-Trunking)ACK容器网络数据链路...
使用Fluid访问线下存储
first-bucket/testfile"fluid-minio-test 步骤三:准备包含Minio Fuse客户端的容器镜像 Fluid会把ThinRuntime中Fuse所需的运行参数、Dataset中描述数据路径的挂载点等参数传入到ThinRuntime Fuse的Pod容器中。在容器内部,用户需要执行参数...
runC容器和安全沙箱(runV)容器的区别
runC容器和安全沙箱(runV)容器方案对比 配置 runC容器 安全沙箱(runV)容器 容器引擎 Docker、Containerd Containerd 容器所在节点型号 ECS、EBM EBM 容器内核 与宿主机共享内核 独占内核 容器隔离方式 Cgroups和Namespace 轻量虚拟机 ...
OpenKruise
SidecarSet支持在初始化容器中使用共享目录和环境变量。CloneSet、Advanced StatefulSet原地升级支持设置容器启动优先级。更多信息,请参见 kruise change log。2022年07月20日 无 2022年01月 版本号 镜像地址 变更内容 变更时间 变更影响 ...
使用ACKTerway和CiliumHubble实现网络可观测性
在页面上半部分,您可以查看容器集群中各个命名空间中容器组与服务互访的拓扑结构。在页面下半部分,您可以查看当前容器网络中网络流量的来源、目的地、端口信息以及转发状态。如果您设置了网络策略,您可以查看哪些流量是被网络策略丢弃的...
CreateContainerGroup-创建一个容器组
如果未设置,则容器中标准输入的读取值将导致 EOF。默认为 false。false LivenessProbe.InitialDelaySeconds integer 否 检查开始执行的时间,以容器启动完成为起点计算。5 VolumeMount object[]否 数据卷信息。MountPropagation string 否...
Pod诊断
Pod 检查项名称 检查项说明 修复方案 Pod容器重启次数统计 统计Pod中容器重启次数。请检查Pod状态及日志。更多信息,请参见 Pod异常问题排查。Pod容器镜像下载阻塞情况 检查Pod同节点是否有其他Pod的容器镜像下载被阻塞。请检查Pod状态及...
- 产品推荐
- 这些文档可能帮助您