配置Security Context
目前ECI支持配置的参数如下:支持配置的参数 说明 runAsUser 设置运行容器的用户ID。该参数配置会覆盖Dockerfile中的USER指令。runAsGroup 设置运行容器的用户组。runAsNonRoot 取值为true表示以非root模式运行容器。capabilities 为容器内...
功能特性
Serverless 使用ECI实例,您无需管理底层服务器,也无需关心运行过程中的容量规划,只需提供打包好的镜像,即可运行容器应用。自定义规格 支持多种类型的计算资源来运行容器,可以自定义规格,包括:指定ECI规格:支持指定实例级别或者容器...
配置Security Context
目前ECI支持配置的参数如下:支持配置的参数 说明 runAsUser 设置运行容器的用户ID。该参数配置会覆盖Dockerfile中的USER指令。runAsGroup 设置运行容器的用户组。runAsNonRoot 取值为true表示以非root模式运行容器。capabilities 为容器内...
配置Security Context
目前ECI支持配置的参数如下:支持配置的参数 说明 runAsUser 设置运行容器的用户ID。该参数配置会覆盖Dockerfile中的USER指令。runAsGroup 设置运行容器的用户组。runAsNonRoot 取值为true表示以非root模式运行容器。capabilities 为容器内...
使用ContainerOS
ContainerOS是一种轻量级的Linux发行版,专门用于运行容器应用,并且尽可能减少非必要的软件包以降低攻击面和提高性能。前提条件 已创建 容器服务 Kubernetes 版 集群,容器运行时为containerd,且Kubernetes版本为1.24.6及以上。关于创建...
为容器节点添加数据盘
容器节点下载镜像的操作,例如运行容器运行时、存储容器的临时存储、记录容器的stdout日志等,会占用大量系统盘资源。影响节点运行的稳定性。您可以使用数据盘作为Kubelet和容器运行时的根目录,从而节省系统盘的资源,提升节点运行的稳定...
架构
SOFAStack 提供基于 ...您可通过产品控制台或 Kubernetes 提供的标准 Kubectl 工具接入容器产品。三方产品亦可通过容器应用服务开放的 OpenAPI 或者 Kubernetes 标准的 API 集成容器应用服务的产品能力,打造各种解决方案,服务用户。
Pod安全
禁止以Docker in Docker的方式运行容器或者在容器中挂载Docker.sock 使用嵌套容器或者挂载Docker.sock的方式可以方便地在Docker容器中构建/运行容器镜像,但您将节点的控制权交给了在容器中运行的进程。关于在Kubernetes上构建容器镜像,请...
实例概述
您对该ECI实例拥有完全的控制权,不需要进行底层服务器的管理和配置操作,只需要提供打包好的容器镜像,即可运行容器。实例规格 一个ECI实例主要包括vCPU和内存规格。创建实例时,可以指定ECI规格(直接指定vCPU和内存),也可以指定ECS...
runtime
name string 容器运行时名称,ACK 支持以下三种容器运行时。containerd:推荐使用,支持所有集群版本。Sandboxed-Container.runv:安全沙箱容器,提供更高的隔离性,支持 1.24 版本及以下集群。docker:支持 1.22 版本及以下集群。默认值:...
runtime
name string 容器运行时名称,ACK 支持以下三种容器运行时。containerd:推荐使用,支持所有集群版本。Sandboxed-Container.runv:安全沙箱容器,提供更高的隔离性,支持 1.24 版本及以下集群。docker:支持 1.22 版本及以下集群。默认值:...
安全概览
容器服务ACK提供安全概览功能,支持对节点、容器镜像、容器运行时、工作负载配置进行风险识别及安全加固,可以帮助您提升云上资源和业务应用的安全治理效率。本文介绍如何使用容器服务ACK的安全概览功能。使用说明 安全概览功能仅支持ACK...
安全概览
容器服务ACK提供安全概览功能,支持对节点、容器镜像、容器运行时、工作负载配置进行风险识别及安全加固,可以帮助您提升云上资源和业务应用的安全治理效率。本文介绍如何使用容器服务ACK的安全概览功能。使用说明 安全概览功能仅支持ACK...
runtime
name string 容器运行时名称,ACK 支持以下三种容器运行时。containerd:推荐使用,支持所有集群版本。Sandboxed-Container.runv:安全沙箱容器,提供更高的隔离性,支持 1.24 版本及以下集群。docker:支持 1.22 版本及以下集群。默认值:...
什么是弹性容器实例
通过使用ECI,在阿里云上部署容器时,您无需购买和管理云服务器ECS,只需提供打包好的Docker镜像,即可在阿里云上运行容器。从购买配置ECS再部署容器(ECS模式)到直接部署容器(ECI模式),ECI为您省去了底层服务器的运维和管理工作,让您...
为什么选择安全沙箱?
Rootless模式:禁止用户以root身份运行容器Runtime和容器。虽然以上措施可以在一定程度上强化runC容器的安全性,降低恶意容器应用攻击Host Kernel的几率,但是仍然无法解决容器逃逸利用Host Kernel漏洞的安全问题。安全沙箱(runV)容器...
安全沙箱概述
架构图 特点 安全沙箱v2是阿里云全新自研的基于轻量虚拟机技术的安全容器运行时,相比于v1版本,在保持超强隔离性的同时,overhead降低了90%,沙箱启动速度提升了3倍,单机密度提升了10倍。主要特点如下:基于轻量虚拟机,实现沙箱之间的...
产品优势
弹性容器实例为您提供免运维、弹性、低成本、高效的容器运行环境。核心优势 弹性容器实例的核心优势主要体现在以下几方面:免运维 采用Serverless架构,基础设施托管。您无需关心底层服务器,只需要提交容器镜像;无需预先创建集群和维护...
创建安全沙箱节点池
安全沙箱运行时将应用及其依赖环境运行在一个轻量级虚拟机中,为应用Pod提供独立内核层模拟或者细粒度的隔离层,这样可以有效防止容器内部的恶意攻击或漏洞,避免影响到宿主机或其他容器。容器服务 Kubernetes 版 利用节点池管理节点,本文...
安全沙箱兼容性说明
背景信息 安全沙箱作为一种新的容器运行时,除了在创建安全沙箱(runV)容器时不支持Pod层面的个别字段之外,其他兼容性与runC容器一致,如Pod(Container)网络、Service网络(ClusterIP、NodePort)、镜像等等。用户在使用安全沙箱容器...
共享GPU调度
容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)开源了GPU共享调度之后,您能在阿里云、AWS、Google Compute Engine和自己数据中心的容器集群上通过GPU共享调度框架实现多个容器运行在同一个GPU设备上的目标。ACK开源GPU...
创建Windows节点池
容器运行时 仅containerd容器运行时支持Windows节点池。节点池类型 仅支持将非托管节点池创建为Windows节点池。实例规格 不同实例规格对Windows节点池的支持情况不同,有些实例规格不支持Windows节点池,请多次尝试。例如,您可以选择ecs.g...
远程连接容器
部署容器后,您可以在轻量应用服务器管理控制台远程连接容器并对其进行相关管理。本文介绍如何远程连接容器。操作步骤 登录 轻量应用服务器管理控制台。...本示例以Nginx容器为例,执行以下命令,查看容器运行状态。service nginx status
升级安全沙箱运行时
您可以通过容器服务Kubernetes版ACK(Container Service for Kubernetes)控制台,可视化地升级您节点上的安全沙箱运行时。本文介绍安全沙箱运行时的升级原理、注意事项以及如何升级安全沙箱运行时。使用限制 仅当您的集群为安全容器集群时...
设置容器终止消息
通过自定义设置terminationMessagePath,可以使得Kubernetes在容器运行成功或失败时,使用指定文件中的内容来填充容器的终止消息。终止消息内容最大为4 KB。terminationMessagePolicy 用于设置容器终止消息的策略。取值为:File(默认):...
GPU调度概述
共享GPU调度 阿里云容器服务Kubernetes版ACK(Container Service for Kubernetes)开源了GPU共享调度之后,您能在阿里云、AWS、GCE和自己数据中心的容器集群上通过GPU共享调度框架实现多个容器运行在同一个GPU设备上的目标。ACK开源GPU共享...
runC容器和安全沙箱(runV)容器的区别
runC容器和安全沙箱(runV)容器方案对比 配置 runC容器 安全沙箱(runV)容器 容器引擎 Docker、Containerd Containerd 容器所在节点型号 ECS、EBM EBM 容器内核 与宿主机共享内核 独占内核 容器隔离方式 Cgroups和Namespace 轻量虚拟机 ...
设置容器终止消息
通过自定义设置terminationMessagePath,可以使得Kubernetes在容器运行成功或失败时,使用指定文件中的内容来填充容器的终止消息。终止消息内容最大为4 KB。terminationMessagePolicy 用于设置容器终止消息的策略。取值为:File(默认):...
查看集群信息
重要 这些资源由阿里云容器服务进行管理,请勿随意删除或自行修改,避免导致集群异常,影响集群内应用的正常运行。集群监控 对接阿里云可观测监控 Prometheus 版,对集群进行资源监控,支持快速查看负载的CPU、内存、网络等指标的使用率,...
查看集群信息
重要 这些资源由阿里云容器服务进行管理,请勿随意删除或自行修改,避免导致集群异常,影响集群内应用的正常运行。集群监控 对接阿里云可观测监控 Prometheus 版,对集群进行资源监控,支持快速查看负载的CPU、内存、网络等指标的使用率,...
查看集群信息
重要 这些资源由阿里云容器服务进行管理,请勿随意删除或自行修改,避免导致集群异常,影响集群内应用的正常运行。集群监控 对接阿里云可观测监控 Prometheus 版,对集群进行资源监控,支持快速查看负载的CPU、内存、网络等指标的使用率,...
查看节点信息
容器服务 Kubernetes 版 支持查看Kubernetes集群的节点名称、实例ID、容器组已分配量和总额度、容器运行时、标签、注释、污点、节点资源请求量和使用量等。前提条件 已 创建Kubernetes托管版集群。通过命令查看节点列表 说明 使用命令查看...
灵骏节点池概述
功能介绍 灵骏节点池继承了容器服务ACK的节点池 功能,节点池内的节点均具有以下相同属性:容器运行时类型及版本。节点CPU Policy。节点标签、污点(Taints)。节点自定义数据。使用说明 ACK灵骏托管版集群中的“灵骏节点池”与智能计算...
containerd运行时发布记录
containerd是一个工业级标准的容器运行时,可以在宿主机中管理完整的容器生命周期。containerd为您提供更精简、更稳定的容器运行时。本文介绍containerd运行时的变更记录。背景信息 关于containerd运行时与其他运行时的对比详情,请参见 ...
安全沙箱运行时发布记录
2020年08月 版本号 变更时间 变更内容 变更影响 2.0.0 2020年08月28日 ACK沙箱容器2.0大版本升级:阿里云全新自研的基于轻量虚拟机技术的容器运行时,更轻更快,架构更简洁,更易于维护。Overhead降低了90%,沙箱启动速度提升了3倍。单机...
ack-advanced-audit
ack-advanced-audit是实现容器内部操作审计的关键组件。本文介绍ack-advanced-audit组件信息、使用说明及变更记录。索引 组件介绍 使用说明 变更记录 组件介绍 ack-advanced-audit组件基于开源项目 Falco,使用内核提供的eBPF特性,实现了...
首次使用容器服务Kubernetes版
您首次使用容器服务Kubernetes版(Alibaba Cloud Container Service for Kubernetes,简称容器服务ACK)时,需要为服务账号授予系统服务角色。只有在该角色被正确授予后,容器服务才能正常地调用相关服务(ECS,OSS、NAS、SLB等),创建...
UpgradeClusterNodepool-升级节点池
您可以调用UpgradeClusterNodepool接口升级指定集群节点池的kubelet版本(建议与控制面版本一致)、操作系统版本或容器运行时版本。接口说明 通过 UpgradeClusterNodepool 可升级指定集群节点池内节点的 Kubernetes 版本、操作系统版本或...
UpgradeClusterNodepool-升级节点池
您可以调用UpgradeClusterNodepool接口升级指定集群节点池的kubelet版本(建议与控制面版本一致)、操作系统版本或容器运行时版本。接口说明 通过 UpgradeClusterNodepool 可升级指定集群节点池内节点的 Kubernetes 版本、操作系统版本或...
什么是容器服务 Serverless 版
本文介绍阿里云 容器服务 Serverless 版 的产品简介、核心优势、与ACK集群对比、应用场景、核心功能等信息,帮助您快速了解 ACK Serverless集群。产品简介 容器服务 Serverless 版 是阿里云推出的无服务器Kubernetes容器服务。在 容器服务 ...
- 产品推荐
- 这些文档可能帮助您