本地应用
说明 特权模式下,容器内部拥有宿主机的root权限,而且宿主机的所有设备会默认映射到容器内部,即无需配置 设备映射。设备映射 当 是否启动特权模式 为 否 时出现的参数。设备管理系统和宿主机的环境是完全隔离的。当一个函数需要访问宿...
历史功能发布记录(2021年)
全部 ContainerOS概述 2021年10月 功能名称 功能描述 发布地域 相关文档 ACK发布K8s 1.20.11版本 Kubernetes社区公布了安全漏洞CVE-2021-25741,该漏洞可使攻击者使用软链接的方式在容器中挂载指定subPath配置的目录逃逸到主机敏感目录,...
容器镜像应用
说明 特权模式下,容器内部拥有宿主机的root权限,而且宿主机的所有设备会默认映射到容器内部,即无需配置 设备映射。设备映射 当 是否启动特权模式 为 否 时出现的参数。设备管理系统和宿主机的环境是完全隔离的。当一个函数需要访问宿...
函数计算应用
说明 特权模式下,容器内部拥有宿主机的root权限,而且宿主机的所有设备会默认映射到容器内部,即无需配置 设备映射。设备映射 当 是否启动特权模式 为 否 时出现的参数。设备管理系统和宿主机的环境是完全隔离的。当一个函数需要访问宿...
云端发布
说明 特权模式下,容器内部拥有宿主机的root权限,而且宿主机的所有设备会默认映射到容器内部,即无需配置 设备映射。设备映射 当 是否启动特权模式 为 否 时出现的参数。设备管理系统和宿主机的环境是完全隔离的。当一个函数需要访问宿...
安全沙箱概述
在提升安全性的同时,对性能影响非常小,并且具备与Docker容器一样的用户体验,例如日志、监控、弹性等。架构图 特点 安全沙箱v2是阿里云全新自研的基于轻量虚拟机技术的安全容器运行时,相比于v1版本,在保持超强隔离性的同时,overhead...
使用限制
没有例外 共享宿主机与DDH之间迁移ECS实例 只能迁移按量付费ECS实例,不支持迁移包年包月ECS实例和抢占式实例。没有例外 DDH之间迁移ECS实例 只能在同一个账号下宿主机规格相同的DDH之间迁移。本地SSD型DDH之间不允许迁移ECS实例。宿主机...
安全体系概述
在提升安全性的同时,对性能影响非常小,并且具备与Docker容器一样的用户体验,例如日志、监控、弹性等。可信软件供应链 镜像扫描 容器镜像服务支持所有基于Linux的容器镜像安全扫描,可以识别镜像中已知的漏洞信息。您可以收到相应的漏洞...
runC容器和安全沙箱(runV)容器的区别
runC容器和安全沙箱(runV)容器方案对比 配置 runC容器 安全沙箱(runV)容器 容器引擎 Docker、Containerd Containerd 容器所在节点型号 ECS、EBM EBM 容器内核 与宿主机共享内核 独占内核 容器隔离方式 Cgroups和Namespace 轻量虚拟机 ...
安全体系概述
在提升安全性的同时,对性能影响非常小,并且具备与Docker容器一样的用户体验,例如日志、监控、弹性等。关于安全沙箱管理的详细介绍,请参见 安全沙箱概述。ACK-TEE机密计算 当面向诸如金融、政府等有很强安全诉求的应用场景时,ACK-TEE...
安全体系概述
在提升安全性的同时,对性能影响非常小,并且具备与Docker容器一样的用户体验,例如日志、监控、弹性等。关于安全沙箱管理的详细介绍,请参见 安全沙箱概述。ACK-TEE机密计算 当面向诸如金融、政府等有很强安全诉求的应用场景时,ACK-TEE...
什么是专有宿主机DDH
专有宿主机DDH(Dedicated Host)是阿里云专为企业客户定制优化的云端解决方案,具有物理资源独享、部署更灵活、配置更丰富、性价比更高等特点,可以有效地降低企业上云的总所有成本TCO(Total Cost of Ownership)。DDH是指由一个租户独享...
ModifyInstanceDeployment-修改实例部署集
调用ModifyInstanceDeployment修改ECS实例的部署集,或迁移ECS实例至专有宿主机。支持在迁移ECS实例的同时变更实例规格。接口说明 迁移 ECS 实例至专有宿主机,或在迁移实例同时变更 ECS 实例规格时,必须满足以下条件:ECS 实例必须处于 ...
OSS存储卷FAQ
问题原因:升级集群重启kubelet时,由于容器网络会重启,导致OSSFS进程重启,主机与容器目录映射失效。解决方法:需要重启容器,或重建Pod。您可以通过配置健康检查实现容器或Pod的自动重启。关于使用OSS存储的更多信息,请参见 OSS存储卷...
产品优势
与共享宿主机(多租户环境)相比,DDH为您提供一种依托阿里云虚拟化服务的单租户运行环境,能让您独享一台云主机所有物理资源,同时还兼具灵活性、低成本等优势。安全性 使用DDH可以确保单租户独占物理机,独享CPU、内存、网卡等物理资源,...
Jupyter交互式作业开发
说明 需要注意将编辑中的notebook文件最终另存到/tmp 文件夹,关闭Docker容器后,在宿主机的/home/admin/notebook 文件夹下可以看到对应的文件,再次启动Docker容器时可继续执行。更多信息,请参见 Docker卷管理文档。d 是 AnalyticDB for ...
采集标准Docker容器日志
本文介绍如何部署Logtail容器以及创建Logtail配置,用于采集标准Docker容器日志(文本日志和标准输出)。前提条件 已创建Project和Logstore。更多信息,请参见 创建项目Project 和 创建Logstore。目标容器持续产生日志。重要 Logtail只采集...
部署SAG vCPE镜像
部署成功后,请执行命令 docker ps,系统中会包含以下两个容器:后续步骤 SAG vCPE镜像部署完成后,您需要在阿里云侧和宿主机所在的网络环境中进行网络配置,实现网络资源互通。不同的网络环境可能需要不同的网络配置,以下提供完整的教程...
自研驱动
容器配置 参数 描述 是否使用宿主机host模式 选择是否直接使用宿主机的网络:是:表示不隔离容器的网络,直接使用宿主机网络环境。否:表示隔离容器的网络,需要设置 网络端口映射。网络端口映射 当 是否使用宿主机host模式 为 否 时出现的...
容器防护设置
可疑端口监听异常进程 启动恶意容器 存在风险的Docker远程调试接口 异常操作指令 容器内部提权或逃逸 启动恶意容器 容器防逃逸 容器防逃逸从进程、文件、系统调用等多种维度检测高风险行为,在容器与宿主机之间建立防护屏障,有效阻断逃逸...
基础资源监控
例如,容器中影响Kubernetes调度的内存指标,会使用容器工作内存的专用指标,与宿主机的内存Usage区分。查看资源监控 登录 云监控控制台。在控制台左侧导航栏中,单击 Kubernetes容器监控。在 Kubernetes容器监控 页面中,单击目标集群名称...
专有云V2环境中如何登录容器
L1ROOT=apsarapangu/L1root"执行如下命令,查看[$container_name]容器的宿主机。注:[$container_name]为需要登录的容器名。grep[$Container_name]/apsarapangu/L1root/L1tools/main/config/container_arrangement.csv 系统返回类似如下,...
为什么选择安全沙箱?
安全沙箱特别适合于不可信应用隔离、故障隔离、性能隔离、多用户间负载隔离等场景,在提升安全性的同时,对性能影响非常小,并且具备与Docker容器一样的用户体验,例如日志、监控、弹性等。安全沙箱核心优势 对比Docker运行时,安全沙箱...
Pod安全
在 容器服务 Kubernetes 版 中,您可以通过限制容器以特权模式运行、限制应用程序进程以root身份运行以及禁用Service Account令牌自动挂载等方式,防止容器中运行的进程逃离容器的隔离边界并获得对宿主机的访问权限。通过正确配置Pod安全...
通过 Prometheus 监控 OceanBase 数据
直接启动 Docker 容器 docker run-itd-p9400:9400-name obcloud-exporter obcloud-exporter:1.0 通过映射外部配置文件启动 Docker 容器。docker run-itd-p9400:9400-v/opt/obcloud-exporter/application.yaml:/app/application.yaml-name ...
如何获取容器的Label和环境变量
此处的Label是指Docker inspect中的容器Label,环境变量是指在容器启动中配置的环境变量,因此您需要登录容器所在的宿主机进行获取。获取容器Label 登录容器所在的宿主机(例如ECS)。执行如下命令获取容器ID。orders 为容器组名称,请根据...
API概览
专有宿主机 API 标题 API概述 AllocateDedicatedHosts 创建一台或多台按量付费或者包年包月专有宿主机 调用AllocateDedicatedHosts创建一台或多台按量付费或者包年包月专有宿主机。专有宿主机是单租户独享的物理机资源,您可以在专有宿主机...
添加专有宿主机
在左侧导航栏,选择 实例与镜像>>专有宿主机 DDH。在顶部菜单栏左上角处,选择地域。在 宿主机组 页签下,在目标宿主机组的 操作 列,单击 添加宿主机。在 添加宿主机 面板中,选择宿主机。说明 如果需要添加新的专有宿主机,您可以单击 ...
支持的云服务
经典网络实例全部迁移到VPC最佳实践 经典网络实例部分迁移到VPC最佳实践 云服务器ECS如何通过内网访问RDS 容器服务ACK 使用容器服务ACK在一组云服务器ECS上通过Docker容器管理应用生命周期。容器服务ACK产品架构 通过指定ECS规格创建ECI ...
通过DaemonSet方式采集Kubernetes容器文本日志
容器内文件路径与宿主机文件路径之间的关系被称为文件路径映射。某个文件在当前容器内的路径是/log/app.log,假设映射后的宿主机路径是/var/lib/docker/containers/<container-id>/log/app.log。Logtail默认将宿主机根目录所在的文件系统...
修改宿主机组
如果已添加专有宿主机到宿主机组,您可以修改专有宿主机所在宿主机组到其他宿主机组。本文介绍如何修改专有宿主机所在的宿主机组。前提条件 已创建宿主机组。具体操作,请参见 创建宿主机组。操作步骤 登录 ECS管理控制台。在左侧导航栏,...
containerd运行时发布记录
containerd是一个工业级标准的容器运行时,可以在宿主机中管理完整的容器生命周期。containerd为您提供更精简、更稳定的容器运行时。本文介绍containerd运行时的变更记录。背景信息 关于containerd运行时与其他运行时的对比详情,请参见 ...
增强容器资源可见性
背景信息 Alibaba Cloud Linux的容器资源视图功能接口默认状态下是未启动的,当您在启动该功能后,如果在容器中使用 top、free 等命令,让容器读取以下接口的数据时,将直接获取容器资源信息,而不是获取容器所在的宿主机(即ECS实例)资源...
配置本地存储
背景信息 在EDAS的容器服务K8s集群中配置本地存储主要通过 hostPath 卷来实现,hostPath卷使得容器可以使用宿主机的高速文件系统来存储文件。在创建应用时配置本地存储 登录 EDAS控制台,在左侧导航栏,单击 应用管理>应用列表,在顶部菜单...
创建安全沙箱节点池
安全沙箱运行时将应用及其依赖环境运行在一个轻量级虚拟机中,为应用Pod提供独立内核层模拟或者细粒度的隔离层,这样可以有效防止容器内部的恶意攻击或漏洞,避免影响到宿主机或其他容器。容器服务 Kubernetes 版 利用节点池管理节点,本文...
查看和导出DDH信息
查看DDH详细信息 在 宿主机信息 页签下,可查看宿主机的详细信息,包括宿主机ID、宿主机名称、付费方式、机器码和物理核数等信息。登录 ECS管理控制台。在左侧导航栏,选择 实例与镜像>>专有宿主机 DDH。在顶部菜单栏左上角处,选择地域。...
智能接入网关vCPE FAQ
在宿主机部署完SAG vCPE后,运行docker ps命令查看已有容器,控制台显示离线状态,管控隧道状态为异常,怎么处理?部署SAG vCPE镜像时报错,怎么处理?当部署SAG vCPE镜像执行脚本出现访问被拒时,怎么处理?部署SAG vCPE镜像完成后,序列...
背景知识
BatchCompute 除了支持把软件直接安装到 ECS 镜像,还支持通过 Docker 镜像部署应用程序。也可以自定义制作一个 Docker 镜像, ...BatchCompute 启动 Docker 容器时使用—privileged=false 模式,所以不允许在docker 容器中启动 docker 容器。
设备模拟器
echo 宿主机IP:宿主机端口>/linkedge/run/ds_ctrl.conf 说明 宿主机IP 为您边缘网关的宿主机IP;宿主机端口 为您在本文上方 使用设备模拟器驱动 中的 步骤2 进行 容器配置 时设置的端口(本示例中为8999)。使用设备模拟器控制工具控制设备...
部署隐私计算节点
使用 docker-compose 时,同一宿主机启动的容器网络是互通的,但不同宿主机的容器网络是隔离的状态。因此,为了保证宿主机中的容器可以互相访问,需要使用网络插件对容器进行组网,此时建议您使用 Docker 内置的 Overlay Network 进行组网...
- 产品推荐
- 这些文档可能帮助您