内存诊断
filecache Linux在读写文件时,用内存缓存磁盘文件的内容,程序访问文件时直接操作内存,从而加快程序对文件的读写。匿名内存 在系统运行过程中动态分配(new、malloc、mmap)给进程的堆和栈所占的内存,没有实际的文件名与之相关联。共享...
通过DaemonSet方式采集Kubernetes容器文本日志
容器内文件路径与宿主机文件路径之间的关系被称为文件路径映射。某个文件在当前容器内的路径是/log/app.log,假设映射后的宿主机路径是/var/lib/docker/containers/<container-id>/log/app.log。Logtail默认将宿主机根目录所在的文件系统...
ack-advanced-audit
索引 组件介绍 使用说明 变更记录 组件介绍 ack-advanced-audit组件基于开源项目 Falco,使用内核提供的eBPF特性,实现了容器内操作的系统调用审计能力。通过ack-advanced-audit组件实现的容器内部操作审计功能,可以方便您审计组织内成员...
使用容器内部操作审计功能
ack-advanced-audit组件:实现容器内操作审计。容器内部操作审计功能启用后,默认将在logtail-ds组件使用的日志Project中创建一个名为 advaudit-${cluster_id} 的日志库,用于保存审计日志。该日志库数据的保存时间为180天。关于如何修改...
使用和集成ECI Terminal
ECI提供Terminal方便您与容器内部进行交互并执行命令,您可以通过浏览器打开Terminal,也可以将Terminal集成到自有系统中。本文为您介绍如何使用ECI Terminal,以及如何将ECI Terminal集成到自有系统中。使用ECI Terminal 您在使用ECI的...
指定GPU规格创建实例
默认情况下,多个容器可以共享使用GPU,配置时需确保单个容器内配置的GPU个数不超过指定的GPU规格所具备的GPU个数。OpenAPI 调用CreateContainerGroup接口创建ECI实例时,在通过InstanceType参数指定ECS GPU实例规格的基础上,必须通过容器...
创建安全沙箱节点池
安全沙箱运行时将应用及其依赖环境运行在一个轻量级虚拟机中,为应用Pod提供独立内核层模拟或者细粒度的隔离层,这样可以有效防止容器内部的恶意攻击或漏洞,避免影响到宿主机或其他容器。容器服务 Kubernetes 版 利用节点池管理节点,本文...
使用安全监控
安全监控提供监控和告警能力,包括恶意镜像启动、病毒和恶意程序的查杀、容器内部入侵行为、容器逃逸和高风险操作预警等主要的容器侧攻击行为。本文介绍如何使用安全监控功能。前提条件 已创建Kubernetes集群,具体操作,请参见 创建...
API概览
DescribeContainerLog 获取容器日志信息 调用DescribeContainerLog获取容器组内某个容器的日志信息。CommitContainer 创建CommitContainer任务 调用CommitContainer接口创建异步任务,将ECI实例中的指定容器保存为镜像,并推送至阿里云ACR...
修复漏洞CVE-2020-15257公告
一个使用Host Networking Namespace的容器,且容器内UID设置为0时,攻击者可以通过containerd-shim API来操作宿主机上其他的containerd-shim进程,从而发生提权攻击。本文主要描述了该漏洞的影响范围,漏洞产生的原因和防范措施。目前CVE-...
工作负载推荐配置
如果容器内有多个进程,某个进程挂了,容器未必受影响,外部的容器引擎无法感知到容器内有进程退出,也不会对容器做任何操作,但是实际上容器已经不能正常工作了。如果有几个进程需要协同工作,在Kubernetes里也可以实现,例如:nginx和...
ExecContainerCommand-在容器内部执行命令
nginx Command string 是 要在容器内执行的命令序列。最多 20 个命令,单个命令最长 256 个字符。执行多个命令时,字符串需按照 JSON 格式传入,例如:["/bin/sh","-c","ls-a"]。["/bin/sh","-c","ls-a"]TTY boolean 否 是否开启交互。默认...
配置资源规整忽略特定容器
一般情况下,容器内指定的vCPU和内存为容器资源上限,实际运行实例时,系统会动态调整资源分配。因此对于实例内一些不影响业务的特定容器,您可以通过设置环境变量_ECI_RESOURCE_IGNORE_:TRUE 的方式,实现实例资源规整时忽略这些容器,...
配置资源规整时忽略特定容器
一般情况下,容器内指定的vCPU和内存为容器资源上限,实际运行实例时,系统会动态调整资源分配。因此对于实例内一些不影响业务的特定容器,您可以通过设置环境变量_ECI_RESOURCE_IGNORE_:TRUE 的方式,实现实例资源规整时忽略这些容器,...
配置资源规整时忽略特定容器
一般情况下,容器内指定的vCPU和内存为容器资源上限,实际运行实例时,系统会动态调整资源分配。因此对于实例内一些不影响业务的特定容器,您可以通过设置环境变量_ECI_RESOURCE_IGNORE_:TRUE 的方式,实现实例资源规整时忽略这些容器,...
指定ECS规格创建实例
默认情况下,多个容器可以共享使用GPU,配置时需确保单个容器内配置的GPU个数不超过指定的GPU规格所具备的GPU个数。OpenAPI 调用CreateContainerGroup接口创建ECI实例时,在通过InstanceType参数指定ECS GPU实例规格的基础上,还需要通过...
配置安全沙箱Pod内核参数
背景信息 在Kubernetes中可通过Pod的SecurityContext和Annotation来配置命名空间的安全和非安全Sysctl参数,除此之外还可以启动特权容器在容器内配置非命名空间的Sysctl参数。由于runC Pod与主机共享内核,存在以下问题:虽然特权容器几乎...
使用CentOS镜像创建ECI实例
使用ECI提供的CentOS、Busybox等镜像创建ECI...常见问题 如果没有给CentOS容器配置启动命令,由于容器内部没有常驻进程,会导致容器启动成功后立即退出。在实例重启策略为总是重启的情况下,会一直尝试重启,导致容器一直处于 启动中 状态。
在离线混部概述
从节点维度来看,混部是将多个容器部署在同一个节点上,这些容器内的应用既包括在线类型,也包括离线类型。根据应用对资源质量需求的差异,在线应用可以归纳为延时敏感型LS(Latency Sensitive),通常对请求压力(QPS)或访问延迟(RT)等...
指定GPU规格创建Pod
默认情况下,多个容器可以共享使用GPU,配置时需确保单个容器内配置的GPU个数不超过指定的GPU规格所具备的GPU个数。配置示例如下:apiVersion:apps/v1 kind:Deployment metadata:name:test labels:app:test spec:replicas:2 selector:...
指定GPU规格创建Pod
默认情况下,多个容器可以共享使用GPU,配置时需确保单个容器内配置的GPU个数不超过指定的GPU规格所具备的GPU个数。配置示例如下:apiVersion:apps/v1 kind:Deployment metadata:name:test labels:app:test spec:replicas:2 selector:...
在容器内获取元数据
本文介绍如何在容器内获取元数据,将ECI实例信息和容器Meta数据呈现给运行中的容器。方式一:通过MetaServer访问元数据 您可以使用以下方式获取ECI实例元数据。连接容器。具体操作,请参见 调试ECI实例。执行以下命令访问元数据的根目录。...
安全体系概述
本文从运行时安全、可信软件供应链和基础架构安全三个维度介绍阿里云容器服务Kubernetes版的安全体系,包括安全巡检、策略管理、运行时监控和告警、镜像扫描、镜像签名、云原生应用交付链、默认安全、身份管理、细粒度访问控制等。...
安全体系概述
本文从运行时安全、可信软件供应链和基础架构安全三个维度介绍阿里云容器服务Kubernetes版的安全体系,包括安全巡检、策略管理、运行时监控和告警、镜像扫描、镜像签名、云原生应用交付链、默认安全、身份管理、细粒度访问控制等。...
使用Prometheus配置报警规则的最佳实践
最近3分钟被限流CPU时间片>25%CPU时间片限流(CPU Throttling)会减少容器内进程获得的CPU时间片,影响容器内进程运行时长,有可能导致容器进程的业务行为变慢。针对这种情况,您需要确定Pod的CPU resource limit 是否配置过小。推荐使用...
通过日志服务采集ACK Edge集群的容器日志
阿里云 容器服务 Edge 版 集成了日志服务,您可以在创建 ACK Edge集群 时启用日志服务,快速采集 ACK Edge集群 的容器日志,包括容器的标准输出以及容器内的文本文件。本文介绍如何使用日志服务采集边缘容器的日志信息。步骤一:启用日志...
查看ECI实例监控指标
查询监控数据时,系统将同时返回容器组,以及容器组内容器的监控数据:返回结构体的根节点Records中包含容器组整体的监控数据(CPU、内存、网络和磁盘数据)。返回结构体的子节点Containers中包含各个容器的监控数据(CPU和内存数据)。更...
挂载EmptyDir数据卷
容器1和容器2共享使用了EmptyDir数据卷,容器1的/data1 目录和容器2的/data2 目录下默认为空,在任一容器内新增的文件,在另一容器内也可以访问。示例2:修改实例shm大小 ContainerGroupName=test-emptydir#声明数据卷 Volume.1.Name=...
Pod异常问题排查
说明 阿里云ACK集群集成了日志服务,您可在创建集群时启用日志服务,快速采集集群的容器日志,包括容器的标准输出及容器内的文本文件。更多信息,请参见 通过日志服务采集Kubernetes容器日志。检查Pod的监控 登录 容器服务管理控制台。在...
Pod异常问题排查
说明 阿里云ACK集群集成了日志服务,您可在创建集群时启用日志服务,快速采集集群的容器日志,包括容器的标准输出及容器内的文本文件。更多信息,请参见 通过日志服务采集Kubernetes容器日志。检查Pod的监控 登录 容器服务管理控制台。在...
通过日志服务采集Kubernetes容器日志
您可以在创建集群时启用日志服务,通过日志服务快速采集Kubernetes集群的容器日志,包括容器的标准输出以及容器内的文本文件。步骤一:启用日志服务组件Logtail 重要 为避免产生重复的费用和资源消耗,请根据实际需求选择在集群中仅使用log...
历史功能发布记录(2020年及之前)
全部 使用集群API Server审计功能 注册集群组件管理上线,新增日志组件、应用备份和恢复组件、虚拟节点弹性组件 日志组件可快速采集接入的Kubernetes集群的容器日志,包括容器的标准输出以及容器内的文本文件。应用备份和恢复组件是基于...
使用Fluid访问线下存储
在容器内部,用户需要执行参数解析脚本,并将解析完的运行时参数传递给Fuse客户端程序,由客户端程序完成Fuse文件系统在容器内的挂载。因此,使用ThinRuntime CRD描述存储系统时,需要使用特制的容器镜像,镜像中需要包括以下两个程序。...
OSS存储卷FAQ
文件目录挂载后,显示为文件对象 问题现象 容器内挂载OSS数据卷时,文件原本是目录,挂载后,显示为文件对象。问题原因 原因1:目录对象在OSS服务端content-type类型是非默认的 application/octet-stream 类型(例如text/html,image/jpeg等...
生命周期管理FAQ
以下操作会更新访问时间:读取文件 写入文件 以下操作不会更新访问时间:重命名一个文件 修改文件的用户(user)、用户组(group)、模式(mode)等文件属性 如果一个目录配置了多项生命周期管理策略,文件系统会执行哪一项策略?...
第5课:容器存储-容器网络文件系统CNFS
本视频介绍如何用ACK CNFS提升NAS文件系统的性能和QoS控制。更多信息,请参见 容器网络文件系统CNFS概述。
使用CNFS管理NAS存储卷
容器网络文件系统CNFS(Container Network File System)可以提升NAS存储卷的性能和QoS控制,便于您实现NAS共享存储卷共享、隔离存储卷管理、自动扩容等。功能与文档 说明 通过CNFS方式使用NAS文件系统 为了提升NAS文件系统的性能,容器...
入门概述
阿里云容器服务Kubernetes版(简称容器服务ACK)提供高性能的容器化应用管理服务,让您轻松高效地在云端运行Kubernetes容器化应用。本文介绍容器服务ACK的快速使用流程、快速使用方式及文档使用指引,帮助您快速上手容器服务ACK。快速使用...
容器与云原生
本文列举了容器挂载文件系统的最佳实践及容器与云原生存储解决方案。容器挂载 使用NAS动态存储卷创建有状态应用 存储管理-CSI NAS卷使用说明 存储管理-CSI 通过NFS使用NAS静态存储卷 存储管理-CSI 通过NFS使用NAS动态存储卷 容器应用 阿里...
在容器内获取元数据
本文介绍如何在容器内获取元数据,将ECI Pod信息和容器Meta数据呈现给运行中的容器。方式一:通过MetaServer访问元数据 您可以使用以下方式获取ECI实例元数据。连接容器。具体操作,请参见 调试ECI实例。执行以下命令访问元数据的根目录。...
- 产品推荐
- 这些文档可能帮助您