使用ACKTerway和CiliumHubble实现网络可观测性
在页面上半部分,您可以查看容器集群中各个命名空间中容器组与服务互访的拓扑结构。在页面下半部分,您可以查看当前容器网络中网络流量的来源、目的地、端口信息以及转发状态。如果您设置了网络策略,您可以查看哪些流量是被网络策略丢弃的...
网络管理FAQ
本文汇总网络管理中容器网络、Service、Ingress和DNS的常见问题。索引 容器网络FAQ Service FAQ Ingress FAQ DNS FAQ 网络基础相关 容器网络FAQ Terway相关 Terway网络模式下增加了虚拟交换机后,集群无法访问公网怎么办?使用Terway网络的...
部署和配置Terway网络插件
混合集群中的容器网络插件包括本地数据中心中运行的容器网络插件和云上计算节点上运行的容器网络插件两部分。本文将介绍如何在混合集群中部署和配置Terway网络插件。前提条件 对于 场景二:本地数据中心容器网络模式为BGP网络 及 场景三:...
存储CSI概述
中使用容器网络文件系统CNFS(Container Network File System)。CNFS可以提升NAS、OSS存储卷的性能和QoS控制,将阿里云的文件存储抽象为一个K8s对象(CRD)进行独立管理,包括创建、删除、描述、挂载、监控及扩容等运维操作,提供回收站、...
CoreDNS手动升级
如果您在容器服务ACK控制台的组件管理页面CoreDNS组件上无法看到升级按钮,且当前组件版本较低,说明您的集群无法进行CoreDNS的...相关文档 In IPVS mode,kube-proxy doesn't handle graceful termination of UDP flows CoreDNS 容器网络FAQ
使用配置巡检功能检查注册集群Workload安全隐患
如果配置了,存在Pod中容器攻击主机网络、嗅探主机网络数据的风险。修改Pod Spec,删除 hostNetwork 字段。示例:hostIPCSet 通过检查Workload的Pod Spec中是否配置了 hostIPC:true,检查是否配置了共享使用主机的IPC namespace。如果配置...
使用配置巡检检查集群工作负载
如果配置了,存在Pod中容器攻击主机网络、嗅探主机网络数据的风险。修改Pod Spec,删除 hostNetwork 字段。示例:hostIPCSet 通过检查Workload的Pod Spec中是否配置了 hostIPC:true,检查是否配置了共享使用主机的IPC namespace。如果配置...
使用Terway网络插件
专有网络 选择 步骤一:规划和准备集群网络 中创建的专有网络。网络插件 选择 Terway。Terway模式 设置是否选中 Pod独占弹性网卡以获得最佳性能。如需使用 Pod独占弹性网卡以获得最佳性能 功能,请前往 配额平台 提交申请。如果选中,Pod将...
设置容器启动命令和参数
创建ECI实例时,通过配置ECI实例中容器的工作目录(WorkingDir),可以覆盖WORKDIR。说明 如果镜像里未指定WORKDIR,且创建ECI实例也未配置工作目录,则工作目录默认为根目录。如果指定的工作目录不存在,系统将自动创建。启动命令和参数 ...
设置容器启动命令和参数
创建ECI实例时,通过配置ECI实例中容器的工作目录(WorkingDir),可以覆盖WORKDIR。说明 如果镜像里未指定WORKDIR,且创建ECI实例也未配置工作目录,则工作目录默认为根目录。如果指定的工作目录不存在,系统将自动创建。启动命令和参数 ...
设置容器启动命令和参数
创建ECI实例时,通过配置ECI实例中容器的工作目录(WorkingDir),可以覆盖WORKDIR。说明 如果镜像里未指定WORKDIR,且创建ECI实例也未配置工作目录,则工作目录默认为根目录。如果指定的工作目录不存在,系统将自动创建。启动命令和参数 ...
历史功能发布记录(2020年及之前)
全部 无 Terway网络插件支持IPvlan+ebpf无损网络 容器服务ACK Terway网络插件进一步支持IPvlan+ebpf作为弹性网卡共享模式下的最新虚拟化技术。首先,Terway直接通过非常轻量的IPvlan进行Pod网络的虚拟化,IPvlan的网络虚拟化让Pod的流量...
集群概述
开放安全管理,并提供针对运行中容器更强的检测和自动修复能力的安全管理高级版。SLA保障:提供赔付标准的SLA保障,集群API Server的可用性达到99.95%。产品定价 ACK Serverless集群Pro版计费说明 集群对比 ACK Serverless集群Pro版 和 ACK...
ACK集群Pro版概述
开放安全管理,并提供针对运行中容器更强检测和自动修复能力的安全管理高级版。更智能的容器调度:集成更强调度性能的Kube Scheduler,支持多种智能调度算法,优化在大规模数据计算、高性能数据处理等业务场景下的容器调度能力。SLA保障:...
漏洞CVE-2021-41103公告
Containerd社区公布了安全漏洞CVE-2021-41103,该漏洞源于Containerd中的缺陷,在容器根目录和一些系统插件中缺少必要的权限约束时,可使一个非特权的主机Linux用户拥有遍历容器文件系统并执行目标程序的权限。本文介绍该漏洞的影响和影响...
挂载EmptyDir数据卷
容器1和容器2共享使用了EmptyDir数据卷,容器1的/data1 目录和容器2的/data2 目录下默认为空,在任一容器内新增的文件,在另一容器内也可以访问。示例2:修改实例shm大小 ContainerGroupName=test-emptydir#声明数据卷 Volume.1.Name=...
kritis-validation-hook
组件介绍 kritis-validation-hook组件是部署可信容器环节中容器镜像签名验证的关键组件。在部署前对容器镜像进行签名验证,可以确保只部署经过可信授权方签名的容器镜像,从而在您的环境中降低运行意外或恶意代码的风险。关于kritis-...
第5课:容器存储-容器网络文件系统CNFS
本视频介绍如何用ACK CNFS提升NAS文件系统的性能和QoS控制。更多信息,请参见 容器网络文件系统CNFS概述。
资源画像
ACK为K8s原生的工作负载提供了资源画像的能力,通过对资源使用量历史数据的分析,实现了容器粒度的资源规格推荐,可以有效简化为容器配置Request和Limit的复杂度。本文介绍如何通过控制台和命令行使用资源画像功能。前提条件及注意事项 仅...
使用容器水平伸缩(HPA)
本例中绑定名为 nginx 的Deployment,在确保所有Pod中容器的平均CPU使用率达到50%时触发扩缩操作。v1.24及以上 apiVersion:autoscaling/v2 kind:HorizontalPodAutoscaler metadata:name:nginx-hpa spec:scaleTargetRef:apiVersion:apps/v1 ...
修复漏洞CVE-2021-30465公告
Open Containers社区披露了runC相关的漏洞,攻击者通过创建恶意Pod,利用符号链接以及条件竞争漏洞将宿主机目录挂载至容器中,最终可能导致容器逃逸问题。本文介绍该漏洞,以及该漏洞影响、影响范围和防范措施。漏洞描述 对于K8s集群,攻击...
挂载ConfigFile数据卷
配置说明(控制台)通过 弹性容器实例售卖页 创建ECI实例时,您可以在 容器组配置 区域声明数据卷,然后在 容器配置 区域,将数据卷挂载到容器中。声明数据卷 在 容器组配置 区域,展开 高级配置。在 存储 处选择 配置项 页签,单击 添加。...
边缘网络自治
边缘网络自治可以保证在异常状态下应用恢复后,应用间的网络通信自动恢复。本文主要为您介绍边缘节点上的网络自治功能。背景信息 边缘节点接入云端集群后,默认具备边缘网络自治能力。具备网络自治能力的节点,节点上应用Pod IP与Pod Name...
挂载OSS数据卷
配置说明(控制台)通过 弹性容器实例售卖页 创建ECI实例时,您可以在 容器组配置 区域声明数据卷,然后在 容器配置 区域,将数据卷挂载到容器中。声明数据卷 在 容器组配置 区域,展开 高级配置。在 存储 处选择 OSS持久化存储 页签,单击...
kube-flannel-ds
kube-flannel-ds是在阿里云 容器服务 Edge 版 上使用的Overlay容器网络组件。本文为您介绍该组件,以及组件相关内容的最新动态。组件介绍 创建 ACK Edge集群 时会默认安装kube-flannel-ds网络组件,该组件通过DaemonSet方式部署,且通过在...
容器网络文件系统CNFS概述
容器服务 Kubernetes 版 推出了容器网络文件系统CNFS(Container Network File System),以提升NAS、OSS存储卷的性能和QoS控制,帮您解决传统的共享文件系统缺少容量配额的精确控制、无法恢复误删文件、缺失存储卷容量性能等监控指标、无...
挂载NAS数据卷
配置说明(控制台)通过 弹性容器实例售卖页 创建ECI实例时,您可以在 容器组配置 区域声明数据卷,然后在 容器配置 区域,将数据卷挂载到容器中。声明数据卷 在 容器组配置 区域,展开 高级配置。在 存储 处选择 NAS持久化存储 页签,单击...
设置容器时区
本文介绍如何为容器配置时区,以此来保证容器中的时间与所处环境的时间一致,避免时区错误导致的时间一致性和准确性等问题。配置示例 创建一个ConfigMap,导入您需要指定的时区。以下为命令示例,其他时区请使用/usr/share/zoneinfo/目录下...
设置容器时区
本文介绍如何为容器配置时区,以此来保证容器中的时间与所处环境的时间一致,避免时区错误导致的时间一致性和准确性等问题。配置示例 创建一个ConfigMap,导入您需要指定的时区。以下为命令示例,其他时区请使用/usr/share/zoneinfo/目录下...
在容器组中使用保密字典
在 容器配置 页签,在 数据卷 区域,单击 增加本地存储,存储卷类型 为 保密字典,挂载源 为 创建保密字典 中创建好的密钥,容器路径 为在容器中访问的路径。配置好相应信息后,单击 下一步。本例中,配置示例如下所示。在 高级配置 页签中...
在容器组中使用保密字典
在 容器配置 页签,在 数据卷 区域,单击 增加本地存储,存储卷类型 为 保密字典,挂载源 为 创建保密字典 中创建好的密钥,容器路径 为在容器中访问的路径。配置好相应信息后,单击 下一步。本例中,配置示例如下所示。在 高级配置 页签中...
使用探针对容器进行健康检查
Liveness Probe和Readiness Probe是用于检测容器状态的机制,其中Liveness Probe用于检测容器是否正常运行,Readiness Probe用于检测容器是否已经就绪。本文介绍如何配置Liveness Probe和Readiness Probe对容器进行健康检查,以便ECI更好地...
漏洞CVE-2023-2727和CVE-2023-2728公告
漏洞CVE-2023-2727:攻击者可以利用kube-apiserver中原生ImagePolicyWebhook准入插件的漏洞,通过部署临时容器(ephemeral containers),绕过对启动容器中使用的镜像的安全校验。该漏洞被评估为中危漏洞,在CVSS的评分为 6.5。漏洞CVE-...
在容器组中使用配置项
配置项使您可以将配置文件与镜像分离,提高容器应用程序的可移植性。本文介绍如何在Pod中使用配置项。使用场景 您可以在Pod中使用配置项,主要有以下几种使用场景:使用配置项定义Pod环境变量 通过配置项设置命令行参数 在数据卷中使用配置...
在容器组中使用配置项
配置项使您可以将配置文件与镜像分离,提高容器应用程序的可移植性。本文介绍如何在Pod中使用配置项。使用场景 您可以在Pod中使用配置项,主要有以下几种使用场景:使用配置项定义Pod环境变量 通过配置项设置命令行参数 在数据卷中使用配置...
在Windows容器中使用基于DirectX的GPU加速
本文介绍在Windows节点如何安装DirectX设备插件以及在Windows容器中如何使用基于DirectX构建的GPU加速功能。前提条件 已创建Kubernetes集群,且集群版本不低于v1.20.4。具体操作,请参见 创建Kubernetes托管版集群。Windows节点仅支持部署...
安全沙箱的NAS直挂
示例 以下通过创建NAS实例及使用YAML模板创建资源对象举例说明如何在安全沙箱容器中挂载NAS卷。创建一个NAS实例。具体操作,请参见 通过控制台创建通用型NAS文件系统。重要 NAS实例的VPC需要和集群的VPC一致。获取到NAS实例挂载点地址,如...
服务运行
将业务代码打包成容器镜像,存放到镜像仓库ACR中,再通过ACR拉取到对应容器集群ACK/ACK Serverless中。通过Dockerfile将代码构建为镜像。具体操作,请参见 在Dockerfile中使用构建打包镜像并运行。若镜像在本地,可以上传到私有镜像仓库ACR...
ACK Edge发布Kubernetes 1.20版本说明
阿里云 容器服务 Edge 版 是基于容器服务ACK针对边缘计算场景推出的云边一体化托管方案。本文介绍 ACK Edge集群 发布Kubernetes 1.20版本所做的变更内容。版本特性 版本特性 说明 ACK Edge集群 版本 1.20.11-aliyunedge.1 边缘节点自治 ...
DescribeContainerGroups-批量查询容器组信息
取值范围:Pending:启动中 Running:运行中 Succeeded:运行成功 Failed:运行失败 Scheduling:创建中 ScheduleFailed:创建失败 Restarting:重启中 Updating:更新中 Terminating:终止中 Expired:过期 Running ResourceGroupId ...
- 产品推荐
- 这些文档可能帮助您