在容器内获取元数据
ECI Pod(即ECI实例)的元数据可以提供关于Pod及其容器的信息用于管理和使用容器,例如名称、ID等基本信息,以及IP地址、网卡等网络信息等。本文介绍如何在容器内获取元数据,将ECI Pod信息和容器Meta数据呈现给运行中的容器。方式一:通过...
在容器内获取元数据
ECI Pod(即ECI实例)的元数据可以提供关于Pod及其容器的信息用于管理和使用容器,例如名称、ID等基本信息,以及IP地址、网卡等网络信息等。本文介绍如何在容器内获取元数据,将ECI Pod信息和容器Meta数据呈现给运行中的容器。方式一:通过...
(停止维护)ACK发布Kubernetes 1.22版本说明
推荐使用容器组安全准入(PodSecurity)替代。更多信息,请参见 版本解读。升级时,Master节点上所有的容器将会重建。如有自定义容器需要备份,请提前备份。可能存在 CVE-2022-3172 漏洞。关于漏洞的影响和解决措施,请参见 CVE-2022-3172...
升级安全沙箱运行时
使用限制 仅当您的集群为安全容器集群时,才可以使用 容器运行时升级 功能。注意事项 运行时升级需要节点具备公网访问能力,以便下载升级所需的软件包。运行时升级过程中,可能会有升级失败的情况,为了您的数据安全,强烈建议您先打快照...
应用使用HPA
因此对于使用GitOps发布的应用,如果使用容器水平伸缩控制Pod副本数,您需要对应用进行相应配置避免产生冲突。配置方式按照副本数分为默认1个副本和默认多个副本两种场景。默认1个副本 如果您的应用默认的Pod副本数为1,并且应用使用HPA来...
安全扫描容器镜像
恶意样本:提供容器恶意样本的检测能力,为您展示资产中存在的容器安全威胁,帮助您找到存在恶意样本的位置,便于您根据位置修复恶意样本,大幅降低您使用容器的安全风险。为企业版实例配置VPC网络。具体操作,请参见 配置专有网络的访问...
使用容器定时水平伸缩(CronHPA)
如果您的应用资源使用率存在周期性变化,需要按照类似Crontab的策略定时对Pod进行扩缩容,您可以使用容器定时水平伸缩CronHPA(CronHorizontal Pod Autoscaler)实现Pod的定时扩缩容。CronHPA适用于业务流量有明显高峰时段、应用程序需要在...
日志审计
此时可以通过 使用容器内部操作审计功能,帮助安全运维人员获取攻击者进入容器实例后发起的攻击命令审计,助力针对安全事件的溯源和止血。利用审计元数据 Kubernetes审计日志包括两个注释,用于指示请求是否获得授权 authorization.k8s.io/...
ACK灵骏发布Kubernetes 1.22版本说明
推荐使用容器组安全准入(PodSecurity)替代。更多信息,请参见 版本解读。升级时,Master节点上所有的容器将会重建。如有自定义容器需要备份,请提前备份。可能存在 CVE-2022-3172 漏洞。关于漏洞的影响和解决措施,请参见 CVE-2022-3172...
注册集群概述
例如,使用容器服务控制台统一管理集群和应用,统一的日志、监控及告警体系,统一的阿里云账号及RAM用户或RAM角色的授权管理等。AI和大数据赋能:针对主流服务器的CPU拓扑调度和NUMA感知提升计算效率30%~40%;GPU共享调度,资源利用率提高...
使用须知及高危风险操作说明
为了更好地预估和避免相关的操作风险,在使用容器服务ACK前,请认真阅读本文中的建议与注意事项。索引 信息项 相关文档 使用须知 数据面组件相关 集群升级相关 Kubernetes原生配置相关 ACK Serverless集群相关 注册集群相关 应用目录相关 ...
Service快速入门
在Kubernetes中,Pod虽然拥有独立的IP,但会被快速地创建和删除,因此无法直接对外...如果使用容器服务ACK Service时遇到问题,例如Service注解不生效、无法根据Service关联SLB等,请参见 Service FAQ、Service异常问题排查 寻找解决方法。
快速入门
将MSE接入注册集群 将AHAS-架构感知接入注册集群 将AHAS-应用限流接入注册集群 协同调度 通过为注册集群安装ack-co-scheduler组件的方式,以实现在您的本地集群中使用阿里云容器服务ACK的调度能力,让您能够便捷地使用容器服务对于大数据、...
使用Terway网络插件
DataPath V2与IPvlan模式差异 对比项 DataPath V2 IPvlan 网络接口 veth ipvlan NetworkPolicy 支持 支持 Trunk ENI 支持 支持 Terway DataPath V2模式使用限制 需要使用容器服务ACK中的Alibaba Cloud Linux操作系统镜像。尚未支持安全沙箱...
使用企业版实例推送和拉取镜像
通过使用容器镜像服务企业版实例推送和拉取镜像,您可以更好地管理和存储容器镜像,方便地在不同的环境中部署和使用这些镜像。有助于提高开发和部署过程的效率,并确保容器镜像的一致性和可靠性。前提条件 已注册阿里云账号。具体操作,请...
ACK One概述
注册集群 通过 ACK One 注册集群,您可以将来自不同供应商和不同位置的K8s集群统一接入到阿里云容器服务ACK控制台,实现多个集群统一管理,并使用容器服务ACK丰富的集群扩展能力,同时获得云上弹性计算资源。云上云下一致的运维体验:与...
容器定时伸缩(CronHPA)
如果您无需使用容器定时伸缩功能,可以删除CronHPA组件。关于删除CronHPA组件ack-kubernetes-cronhpa-controller的具体步骤,请参见 管理组件 或 基于Helm的发布管理。创建定时伸缩CronHPA任务 为应用创建和运行CronHPA前,请确保集群中的...
云产品资源计费
您在使用 容器服务 Kubernetes 版 过程中,会使用阿里云其他云产品的资源,您需要为您使用的这些资源付费。ACK集群关联的阿里云云产品 ACK托管集群 和 ACK专有集群 关联的阿里云云产品介绍及计费说明如下。重要 下表中涉及的关联云产品仅供...
首次开通ACK并授权默认角色
首次使用容器服务ACK时,需要为服务账号授予系统默认角色。当且仅当该角色被正确授予后,容器服务ACK才能正常地调用相关服务(ECS、OSS、NAS、SLB等)、创建集群以及保存日志等。本文介绍在首次使用ACK时如何通过Terraform授权容器服务默认...
首次开通ACK并授权默认角色
首次使用容器服务ACK时,需要为服务账号授予系统默认角色。当且仅当该角色被正确授予后,容器服务ACK才能正常地调用相关服务(ECS、OSS、NAS、SLB等)、创建集群以及保存日志等。本文介绍在首次使用ACK时如何通过Terraform授权容器服务默认...
首次开通ACK并授权默认角色
首次使用容器服务ACK时,需要为服务账号授予系统默认角色。当且仅当该角色被正确授予后,容器服务ACK才能正常地调用相关服务(ECS、OSS、NAS、SLB等)、创建集群以及保存日志等。本文介绍在首次使用ACK时如何通过Terraform授权容器服务默认...
使用限制
Privileged权限 容器拥有privileged权限 使用Security Context为Pod添加Capability type=NodePort的Service 将宿主机端口映射到容器上 使用type=LoadBalancer的负载均衡 ulimit使用限制 ECI目前不支持修改ulimit,您可以在容器内执行 ...
创建ARM架构的实例
CpuArchitecture=ARM64#创建并绑定EIP,以便拉取公网镜像 AutoCreateEip=true#配置容器,使用ARM架构的容器镜像 Container.1.Name=centos Container.1.Image=arm64v8/centos:7.9.2009 Container.1.command.1=sleep Container.1.Arg.1=...
使用指引
创建有状态工作负载StatefulSet 创建任务工作负载Job 使用私有镜像仓库创建应用 应用与镜像更新 使用应用触发器重新部署应用 使用免密组件拉取容器镜像 使用kritis-validation-hook组件实现自动验证容器镜像签名 应用扩缩容 手动伸缩容器组...
自建Kubernetes集群对接ECI
不支持的功能 说明 推荐替代方案 HostPath 挂载本地宿主机文件到容器中 使用emptyDir、云盘或者NAS文件系统 HostNetwork 将宿主机端口映射到容器上 使用type=LoadBalancer的负载均衡 DaemonSet 在容器所在宿主机上部署Static Pod 通过...
挂载stdlog实现挂载容器标准输出日志
查看Pod内的文件目录,可以看到容器的标准日志已经以root权限挂载到/cache-test 目录下,您可以在容器内使用相关日志。kubectl get pod test-stdlog-demo kubectl exec-it test-stdlog-demo bash ls-l/cache-test ls-l/cache-test/test-...
ACK对接ECI
Privileged权限 容器拥有privileged权限 使用Security Context为Pod添加Capability type=NodePort的Service 将宿主机端口映射到容器上 使用type=LoadBalancer的负载均衡 通过容器服务Kubernetes版使用ECI时,请注意以下事项:请先将容器...
(邀测)创建Windows实例
配置示例 ContainerGroupName=test-windows#指定规格 InstanceType=ecs.c6.2xlarge#指定操作系统 OsType=Windows#创建并绑定EIP,以便拉取公网镜像 AutoCreateEip=true#配置容器,使用Windows容器镜像 Container.1.Name=test Container.1....
使用SysOM定位容器内存问题
为解决因容器引擎层的不透明性而导致的故障排查困难问题,阿里云 容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)团队推出操作系统内核层的容器监控可观测能力,为您提供更可靠、透明的容器引擎层,助力您更顺利地进行...
sgx-device-plugin
组件介绍 sgx-device-plugin是由阿里云容器服务团队和蚂蚁金服安全计算团队针对Intel SGX联合开发的Kubernetes Device Plugin,便于让您在容器中使用SGX。Intel(R)Software Guard Extensions(Intel(R)SGX)是Intel为软件开发者提供的安全...
ECI Pod概述
本文主要介绍弹性容器实例ECI Pod的使用准备工作、使用限制以及核心功能,包括安全隔离、CPU/Memory资源和规格配置、镜像拉取、存储、网络、日志收集等。前提条件 已创建ACK集群或 ACK Serverless集群,并已在集群中部署虚拟节点。详情请...
服务发现DNS
容器Pod使用CoreDNS(托管)组件进行域名解析,由ACK Serverless来创建并保证CoreDNS的正常运行。您无需关心CoreDNS的运行状态,免除手动运维。此外,该方案不占用集群中的ECI实例。CoreDNS(非托管)容器Pod使用CoreDNS(非托管)组件进行...
修复漏洞CVE-2020-15257公告
一个使用Host Networking Namespace的容器,且容器内UID设置为0时,攻击者可以通过containerd-shim API来操作宿主机上其他的containerd-shim进程,从而发生提权攻击。本文主要描述了该漏洞的影响范围,漏洞产生的原因和防范措施。目前CVE-...
如何选择Docker运行时、Containerd运行时、或者安全...
挂载容器 docker attach crictl attach 无 显示容器资源使用情况 docker stats crictl stats 无 创建容器 docker create crictl create ctr-n k8s.io c create 启动容器 docker start crictl start ctr-n k8s.io run 停止容器 docker stop ...
如何选择Docker运行时、Containerd运行时、或者安全...
挂载容器 docker attach crictl attach 无 显示容器资源使用情况 docker stats crictl stats 无 创建容器 docker create crictl create ctr-n k8s.io c create 启动容器 docker start crictl start ctr-n k8s.io run 停止容器 docker stop ...
产品优势
使用容器服务ACR可以提高镜像仓库的可靠性,减少运维负担和升级压力。日志:支持日志采集及将采集的日志集成到日志服务。支持集成第三方开源日志解决方案。监控:支持容器级别和VM级别的监控。支持集成第三方开源监控解决方案。丰富的工作...
使用探针对容器进行健康检查
Liveness Probe和Readiness Probe是用于检测容器状态的机制,其中Liveness Probe用于检测容器是否正常运行,Readiness Probe用于检测容器是否已经就绪。本文介绍如何配置Liveness Probe和Readiness Probe对容器进行健康检查,以便ECI更好地...
通过CNFS自动收集异常退出的JVM转储文件
背景信息 阿里云容器服务使用容器网络文件系统CNFS,将阿里云的文件存储抽象为一个K8s对象(CRD)进行独立管理,包括创建、删除、描述、挂载,监控及扩容等运维操作。更多信息,请参见 容器网络文件系统CNFS概述。阿里云容器镜像服务ACR...
OpenKruise
OpenKruise是基于Kubernetes的一个标准扩展组件,可以配合原生Kubernetes使用,高效管理应用容器、Sidecar容器及镜像分发。本文为您介绍OpenKruise组件的介绍、使用说明及变更记录。组件介绍 OpenKruise是阿里云开源的云原生应用自动化引擎...
在离线混部概述
Memory QoS 容器在使用内存时主要存在以下两个方面的约束:自身内存限制:当容器自身的内存(含Page Cache)接近容器上限时,会触发内核的内存回收子系统,这个过程会影响容器内应用的内存申请和释放的性能。节点内存限制:当容器内存超卖...
- 产品推荐
- 这些文档可能帮助您