创建有状态工作负载StatefulSet
参数 描述 增加本地存储 本地存储:支持主机目录(HostPath)、配置项(ConfigMap)、保密字典(Secret)和临时目录,将对应的挂载源挂载到容器路径中。更多信息,请参见 volumes。增加云存储声明(PersistentVolumeClaim)支持通过PVC挂载...
通过Pod环境变量采集应用日志
容器内日志路径:指定希望采集的日志所在的路径,例如使用/usr/local/tomcat/logs/catalina.*.log 来采集Tomcat的文本日志。说明 如果指定为 stdout,表示采集容器的标准输出和标准错误输出。每一项采集配置都会被自动创建为对应Logstore的...
创建无状态工作负载Deployment
参数 描述 增加本地存储 本地存储:支持主机目录(HostPath)、配置项(ConfigMap)、保密字典(Secret)和临时目录,将对应的挂载源挂载到容器路径中。更多信息,请参见 volumes。增加云存储声明(PersistentVolumeClaim)支持通过PVC挂载...
挂载ConfigFile数据卷
方便实例将同一个数据卷下的不同目录挂载到容器的不同目录。Container.N.VolumeMount.N.ReadOnly Boolean false 挂载目录是否只读。默认为false。Container.N.VolumeMount.N.MountPropagation String None 数据卷的挂载传播设置。挂载传播...
为什么选择安全沙箱?
Kubernetes使得我们很容易在一个节点上混合部署不同的应用容器,由于Cgroups并不能很好解决资源争抢问题,导致同一节点上相同资源密集型(如CPU密集型、IO密集型等)的不同应用相互争抢资源,导致应用的响应时间出现了严重的波动,总体响应...
挂载NAS数据卷
方便实例将同一个数据卷下的不同目录挂载到容器的不同目录。Container.N.VolumeMount.N.ReadOnly Boolean false 挂载目录是否只读。默认为false。Container.N.VolumeMount.N.MountPropagation String None 数据卷的挂载传播设置。挂载传播...
数据加密和密钥管理
使用Secret Store CSI driver 应用消费密钥的方式通常是从指定文件系统路径或是从环境变量读取,使用Secret Store CSI driver可以帮您解决如何将云上KMS服务中的密钥信息导入到应用Pod容器内的指定路径的问题。K8s社区基于CSI存储标准扩展...
Pod异常问题排查
本文目录 类别 内容 诊断流程 诊断流程 常见排查方法 检查Pod的状态 检查Pod的详情 检查Pod的配置 检查Pod的事件 检查Pod的日志 检查Pod的监控 使用终端进入容器 Pod故障诊断 常见问题及解决方案 常见的Pod异常状态及处理方式 Pod OOM异常...
使用NAS静态存储卷
本地存储:支持主机目录(HostPath)、配置项(ConfigMap)、保密字典(Secret)和临时目录,将对应的挂载源挂载到容器路径中。更多信息,请参见 Volumes。云存储:支持云存储类型。本例中配置了一个NAS类型的数据卷,将该NAS存储卷挂载到...
容器安全FAQ
本文介绍应用容器安全的常见问题及解决方案。为什么容器之间网络不通?如何给Kubernetes集群指定安全组?集群审计功能是否可以取消或者在创建集群后再部署?Kubernetes专有版本集群如何更换证书有效期,以及如何更换各个组件的证书?Pod...
容器安全FAQ
本文介绍应用容器安全的常见问题及解决方案。为什么容器之间网络不通?如何给Kubernetes集群指定安全组?集群审计功能是否可以取消或者在创建集群后再部署?Kubernetes专有版本集群如何更换证书有效期,以及如何更换各个组件的证书?Pod...
使用镜像创建无状态应用
在 伸缩配置 区域,勾选是否开启 指标伸缩 和 定时伸缩,从而满足应用在不同负载下的需求。容器服务支持容器组的弹性伸缩,即根据容器CPU和内存资源占用情况自动调整容器组数量。说明 若要启用自动伸缩,您必须为容器设置所需资源,否则...
网络概述
您可以通过Ingress资源来配置不同的7层的转发规则,例如通过域名或者访问路径来路由到不同的Service上,从而达到7层的负载均衡作用。更多信息,请参见 Ingress概述。图 2.Ingress和Service关系 示例 常见的前后端分离的架构方式中,前后端...
DescribeContainerGroups-批量查询容器组信息
方便实例将同一个数据卷下的不同目录挂载到容器的不同目录。usr/sub Args array 容器启动参数。string 容器启动参数。["hello"]Image string 容器镜像。mysql Ports object[]暴露端口和协议。Protocol string 协议类型。TCP Port integer ...
网络诊断
KubeSkoop针对不同的网络插件和IaaS提供商,提供了常见Kubernetes集群网络问题的一键诊断,并结合eBPF对内核关键路径做深度监控和分析。本文仅对网络诊断部分进行说明,关于深度监控和分析,请参见 使用ACK Net Exporter定位网络问题。工作...
DNS解析异常问题排查
执行 docker inspect<沙箱容器 ID>|grep netns 命令,查询/var/run/docker/netns/xxxx 的容器网络命名空间路径。执行 nsenter-n路径>bash 命令,进入容器网络命名空间。其中 netns 路径 为上一步得到的路径。说明-n 和路径>之间不加空格。...
DNS解析异常问题排查
执行 docker inspect<沙箱容器 ID>|grep netns 命令,查询/var/run/docker/netns/xxxx 的容器网络命名空间路径。执行 nsenter-n路径>bash 命令,进入容器网络命名空间。其中 netns 路径 为上一步得到的路径。说明-n 和路径>之间不加空格。...
ALB Ingress Controller组件管理
相关文档 您可以通过配置转发规则,实现不同URL访问集群内不同的Service。具体操作,请参见 通过ALB Ingress访问服务。如果您想了解通过ALB Ingress实现基于域名或空域名转发请求、基于URL路径转发请求、ImplementationSpecific、Prefix、...
MSE Ingress概述
例如,根据请求中不同的Host和URL路径,使请求转发到不同的Service上。IngressClass:是Ingress处理器的描述,用于在K8s集群中声明一个Ingress处理器实现,关联该IngressClass的Ingress资源会被该Ingress处理器解析。此外,需要通过...
SysOM内核层容器监控
SysOM(System Observer Monitoring)是一种在操作系统内核层进行容器监控的方法。基于SysOM操作系统层的容器监控功能,容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)提供独特的操作系统内核层的容器监控可观测能力。该...
日志审计
level:Metadata 开启exec容器内部活动审计 通过exec命令进入容器并发起进一步的横向攻击是攻击者在Kubernetes集群中发起攻击的典型路径。在成功进入容器内部后,默认的集群Apiserver审计日志将无法记录攻击者发起的攻击指令。此时可以通过 ...
Dockerfile优化推荐功能
容器镜像服务ACR针对企业版实例运行的构建任务,提供了Dockerfile优化推荐功能,可以帮助您找出Dockerfile中的潜在问题,以提高容器镜像的质量。该功能不会对镜像构建功能产生任何影响,并且您无需进行任何操作,就可以在构建日志中查看...
功能发布记录
本文介绍弹性容器实例ECI的产品功能和对应的文档动态。说明 本文记录2023年及之后的ECI功能发布。更多有关阿里云最新产品动态,请参见 产品动态。2023年12月 功能名称 功能概述 发布时间 相关文档(ECI控制台和API)相关文档(Kubernetes)...
OSS存储卷FAQ
场景3:通过不同的容器进行读写操作时,读、写、运行其他容器创建的文件。问题原因 在ossfs中创建的普通文件默认权限为644。配置 securityContext 中的 fsGroup 字段,或创建后chmod、chown文件,都可能导致权限或所有者的变更。当另一容器...
指定ECS规格创建实例
实例内已预装NVIDIA显卡设备驱动,不同GPU规格支持安装的驱动和CUDA版本不同。规格类型 GPU规格族 GPU类型 驱动和CUDA版本 GPU虚拟化型实例规格族 sgn7i-vws 共享CPU,NVIDIA A10 NVIDIA 470.141.03,CUDA 11.4 vgn7i-vws NVIDIA A10 vgn6i...
在边缘集群中使用P2P加速
cacheTTL:24h#registry-mirror缓存数据保留的宿主机路径。若不设置,缓存会在registry-mirror容器重启时丢失。cacheHostPath:""#边缘节点池配置,可配置多个,可从ACK控制台节点池获取相关参数。`name`为某个边缘节点池的名称。`id`为某个...
DNS解析及缓存策略说明
部分情况下,客户端侧的域名解析策略可能与上述配置不同:当采用Alpine作为容器镜像时,其内置了Musl库代替Glibc实现,解析行为会有较大不同,例如:Alpine不遵循/etc/resolv.conf 里面的single-request和single-request-reopen。...
创建Nginx Ingress
您可以通过Ingress资源来配置不同的转发规则,从而根据转发规则访问集群内Pod。本文介绍如何通过控制台和kubectl方式创建、查看、更新和删除Nginx Ingress。前提条件 已创建Kubernetes集群。具体操作,请参见 创建Kubernetes托管版集群。...
创建Nginx Ingress
您可以通过Ingress资源来配置不同的转发规则,从而根据转发规则访问集群内Pod。本文介绍如何通过控制台和Kubectl方式创建、查看、更新和删除Nginx Ingress。前提条件 已创建Kubernetes集群。具体操作,请参见 创建Kubernetes托管版集群。已...
历史功能发布记录(2023年)
本文介绍容器服务ACK 2023年功能发布的相关动态。重要 关于容器服务ACK的最新功能发布记录,请参见 功能发布记录。2023年12月 产品 功能名称 功能描述 发布地域 相关文档 容器服务 Kubernetes 版 支持基于机密虚拟机的AI模型推理保护 ACK现...
容器L3 Cache及内存带宽隔离
Kubernetes支持将多种类型的应用以容器化的方式部署在同一台宿主机上运行,不同优先级的应用会共享宿主机的三级缓存L3 Cache(Last Level Cache)和内存带宽MBA(Memory Bandwidth Allocation)。ack-koordinator提供了对L3 Cache及内存...
使用P2P加速镜像拉取
P2P镜像拉取凭证与您之前配置的非P2P镜像地址拉取凭证仅镜像仓库域名不同,其他凭证信息一致。因此,若您之前镜像拉取凭证的用户信息配置错误,也会导致P2P镜像拉取失败。执行以下命令,查看Pod。kubectl get po的名称>-o yaml 预期输出:...
修复runc漏洞CVE-2019-5736的公告
阿里云容器服务已修复runc漏洞CVE-2019-5736。本文介绍该漏洞的影响范围及解决方法。背景信息 Docker、containerd或者其他基于runc的容器在运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作获取到宿主机runc执行时的文件句柄...
通过控制台使用动态云盘卷
本例中配置了一个云盘类型的存储卷,将该云盘挂载到容器中/tmp 路径下,在该路径下生成的容器数据会存储到云盘中。所有的信息都配置完成后,单击 创建。创建成功后,您就可以正常使用数据卷。您也可以通过命令行的方式使用动态云盘卷,请...
通过控制台使用动态云盘卷
本例中配置了一个云盘类型的存储卷,将该云盘挂载到容器中/tmp 路径下,在该路径下生成的容器数据会存储到云盘中。所有的信息都配置完成后,单击 创建。创建成功后,您就可以正常使用数据卷。您也可以通过命令行的方式使用动态云盘卷,请...
ALB Ingress概述
例如,根据请求中不同的Host和URL路径,让请求转发到不同的Service上。AlbConfig是在ALB Ingress Controller提供的CRD资源,使用AlbConfig CRD来配置ALB实例和监听。一个AlbConfig对应一个ALB实例。ALB Ingress Controller使用说明 警告 为...
最佳实践
本文为您介绍使用托管版与专有版容器集群ACK时不同场景下的最佳实践。分类 相关文档 授权 授权最佳实践 集群 ECS选型推荐配置 高可靠推荐配置 Kubernetes集群网络规划 ACK Pro大规模集群使用建议 提升ACK专有集群的etcd存储容量上限 Linux...
基本概念
OCI制品 除容器镜像之外,ACR还支持将不同用途的数据(Helm Chart、CNAB等制品)依照OCI Artifact规范定义的结构(清单、索引等)打包成符合OCI规范的制品,实现不同类型制品统一存储、管理和分发。容器镜像服务企业版支持托管OCI制品,...
修复漏洞CVE-2021-30465公告
漏洞描述 对于K8s集群,攻击者将目标挂载路径设置为一个容器Volume在主机上的根目录的软链接(比如,emptyDir卷对应的软链接路径为/var/lib/kubelet/pods/$MY_POD_UID/volumes/kubernetes.io~empty-dir),以此来获取主机上的挂载点。...
搭建类似妙鸭相机的应用
resources:limits:nvidia.com/gpu: "1" # 设置容器所需的GPU数 volumeMounts:name:"model-cv"mountPath:"/mnt/workspace/.cache/modelscope/ly261666/cv_portrait_model/"#模型数据在容器内的挂载路径 volumes:name:"model-cv"hostPath:...
- 产品推荐
- 这些文档可能帮助您