使用tcpdump抓包分析网络问题
抓包需要使用tcpdump工具,但容器的rootfs内可能没有预装tcpdump工具。为解决上述问题,ECI支持一键开启tcpdump功能。该功能的逻辑如下:使用限制 以下地域暂不支持tcpdump:华北6(乌兰察布)、华南2(河源)、华南3(广州)、华东5(南京...
Kubernetes中的通用数据库审计部署方案
当您将数据库部署在Kubernetes集群中时,可在容器中部署抓包程序。本文介绍如何在容器中部署抓包程序。前提条件 已创建通用数据库审计任务。具体操作,请参见 配置通用数据库审计。说明 只需完成配置向导中的 任务配置 步骤,其余步骤可...
抓包分析
您可以创建手动抓包任务立即抓包,抓包后会生成pcap文件,通过分析抓包文件针对性的设置防护策略。本文介绍如何创建抓包任务。抓包范围 抓包的范围为客户端IP和高防IP之间的流量,不包含高防IP和源站之间的流量。但需要注意的是,如果客户...
网络抓包
云防火墙提供网络抓包工具,允许您通过特定的IP和端口捕获互联网边界的流量数据包,便于您快速分析数据包内容、诊断网络问题以及审查潜在的攻击行为,进而揭示网络通信的安全隐患。本文介绍如何有效使用该网络抓包工具。限制说明 云防火墙...
如何抓取网络包
通过如下命令将报文数据复制出来:adb pull/sdcard/myCapture.pcap 中间设备抓包 如文档顶部的图中所示,针对客户端的 TCP 抓包可以在两处进行:客户端出口 网络接入点入口 本节介绍在 Point B(即接入设备入口)处的抓包方式。抓包网络...
基本概念
概念 说明 容器(Container)容器是轻量的、可执行的独立软件包,是镜像运行的实体。容器组(Container Group)容器组是一组可以被调度到同一台宿主机上的容器集合。这些容器共同构成了容器组的生命周期,并共享容器组的网络和存储资源。...
漏洞CVE-2021-41103公告
Containerd社区公布了安全漏洞CVE-2021-41103,该漏洞源于Containerd中的缺陷,在容器根目录和一些系统插件中缺少必要的权限约束时,可使一个非特权的主机Linux用户拥有遍历容器文件系统并执行目标程序的权限。本文介绍该漏洞的影响和影响...
(停止维护)ACK发布Kubernetes 1.16版本说明
阿里云容器服务Kubernetes版(ACK)严格遵循社区一致性认证。本文介绍ACK发布Kubernetes 1.16版本所做的变更说明。版本升级说明 ACK针对Kubernetes 1.16版本提供了全链路的组件优化和升级。核心组件 版本号 升级注意事项 Kubernetes 1.16.9...
查看ECI实例监控指标
在弹性容器实例控制台上,您可以查看ECI实例的监控数据,包括CPU、内存和网络等相关指标。本文介绍ECI实例监控数据的含义和计算方式,方便您了解各项指标的具体作用,以便进行二次计算开发。监控指标概述 在弹性容器实例控制台上查看ECI...
ContainerOS概述
操作系统安全性 最小化执行环境 ContainerOS中仅包含容器场景所需的软件包与系统服务,软件包数量约210+。更少数量的软件包意味着更少的CVE数量,减少操作系统自身的攻击面。剔除高CVE软件包,如binutils、Python、openssh、tcpdump等,...
CreateContainerGroup-创建一个容器组
调用CreateContainerGroup创建一个ECI实例(即容器组)。接口说明 调用 CreateContainerGroup 创建 ECI 实例时,系统将自动为您创建一个服务关联角色 AliyunServiceRoleForECI,用于访问 ECS、VPC 等相关云服务。更多信息,请参见 弹性容器...
使用Prometheus配置报警规则的最佳实践
当Prometheus预设指标无法满足您的业务需求时,您可以使用自定义PromQL来创建告警规则,监控集群节点、宿主机、容器副本、工作负载等资源的健康状况。报警规则可以在给定的数据指标达到关注阈值或条件满足时触发报警,并给您发送通知。前提...
Pod异常问题排查
本文目录 类别 内容 诊断流程 诊断流程 常见排查方法 检查Pod的状态 检查Pod的详情 检查Pod的配置 检查Pod的事件 检查Pod的日志 检查Pod的监控 使用终端进入容器 Pod故障诊断 常见问题及解决方案 常见的Pod异常状态及处理方式 Pod OOM异常...
修复Kubectl cp漏洞CVE-2019-11246的公告
Kubernetes最近公布了另一个kubectl cp相关漏洞CVE-2019-11246,此漏洞可能允许攻击者利用kubectl cp命令,采用路径遍历(Path Traversal)的方式将容器tar包中的恶意文件写入所在主机上的任何路径,该过程仅受本地用户的系统权限限制。...
修复Kubectl cp漏洞CVE-2019-11249的公告
Kubernetes官方公布了一个kubectl cp相关漏洞CVE-2019-11249,此漏洞可能允许恶意攻击者利用目录遍历(Directory Traversal)的方式将容器TAR包中的恶意文件写入或替换至所在主机上目标路径之外的其他位置,该过程仅受本地用户的系统权限...
配置容器镜像
容器镜像包含了容器应用运行所需的程序、库文件、配置等。本文介绍在创建ECI实例时,如何配置容器镜像。背景信息 创建ECI实例前,需要先将容器镜像上传到镜像仓库中。ECI支持从DockerHub、阿里云容器镜像服务ACR等镜像仓库中拉取镜像。推荐...
提交容器生成镜像并推送到ACR
根据业务需求,启动ECI实例后,您可能需要在容器内部进行一些操作修改。如果您想要保留修改后的环境,可以将修改过的容器环境打包成镜像,并推送到ACR,以便后续可以使用。本文介绍如何通过CommitContainer和DescribeCommitContainerTask...
实例概述
每个ECI实例对应一个容器组,由vCPU、内存、网络等基础组件组成,用于运行一个或多个容器。本文介绍ECI实例的基本配置、创建方式和生命周期等。基本配置 ECI实例包含实例规格、容器镜像、网络、存储等基础组件,您可以方便地定制、更改实例...
ECI Pod概述
ECI能为Kubernetes提供基础的容器Pod运行环境,每个ECI实例相当于一个Pod。本文介绍ECI Pod的配置、创建方式和生命周期。基本配置 基于Kubernetes社区的Virtual Kubelet技术,ECI支持以虚拟节点(VK)的形式接入到Kubernetes集群中。一个...
ECI Pod概述
ECI能为Kubernetes提供基础的容器Pod运行环境,每个ECI实例相当于一个Pod。本文介绍ECI Pod的配置、创建方式和生命周期。基本配置 基于Kubernetes社区的Virtual Kubelet技术,ECI支持以虚拟节点(VNode)的形式接入到Kubernetes集群中。...
使用ReadinessGate实现ALB Ingress后端Pod滚动升级时...
探针种类 作用 存活探针(LivenessProbe)用于判断容器是否存活,如果LivenessProbe探针探测到容器不健康,kubelet将kill掉该容器,并根据容器的重启策略做相应的处理。如果一个容器不包含LivenessProbe探针,那么kubelet认为该容器的...
基本概念
在使用容器服务ACK前,需理解该产品所涉及的概念。本文为您介绍使用容器服务ACK过程中遇到的常用名词的基本概念和简要描述,以便于您更好地理解ACK产品。集群 集群指容器运行所需要的云资源组合,关联了若干服务器节点、负载均衡、专有网络...
通过Sidecar方式采集日志
本文介绍如何部署Sidecar容器,以及创建Logtail配置,实现容器日志的采集。前提条件 已开通日志服务。登录 日志服务控制台 时,如果没有开通日志服务,将收到相关提示,您可以根据页面提示开通。背景信息 阿里云日志服务SLS支持在ECI中通过...
通过Sidecar方式采集日志
本文介绍如何部署Sidecar容器,以及创建Logtail配置,实现容器日志的采集。前提条件 已开通日志服务。登录 日志服务控制台 时,如果没有开通日志服务,将收到相关提示,您可以根据页面提示开通。背景信息 阿里云日志服务SLS支持在ECI中通过...
通过Sidecar方式采集日志
本文介绍如何部署Sidecar容器,以及创建Logtail配置,实现容器日志的采集。前提条件 已创建 ACK Serverless集群。具体操作,请参见 创建ACK Serverless集群。已开通日志服务。登录 日志服务控制台 时,如果没有开通日志服务,将收到相关...
方案规划
相比传统的如JAR、WAR、RPM包等,除了代码外,镜像还包含应用所依赖的软件环境(容器运行时所需要的所有的文件集合)。使用镜像可以快速生成一个容器,即运行的应用。更多信息,请参见 使用镜像快速创建无状态Deployment应用。容器 容器是...
安全概览
容器服务ACK提供安全概览功能,支持对节点、容器镜像、容器运行时、工作负载配置进行风险识别及安全加固,可以帮助您提升云上资源和业务应用的安全治理效率。本文介绍如何使用容器服务ACK的安全概览功能。使用说明 安全概览功能仅支持ACK...
安全概览
容器服务ACK提供安全概览功能,支持对节点、容器镜像、容器运行时、工作负载配置进行风险识别及安全加固,可以帮助您提升云上资源和业务应用的安全治理效率。本文介绍如何使用容器服务ACK的安全概览功能。使用说明 安全概览功能仅支持ACK...
创建任务工作负载Job
初始化容器提供了一种机制来阻塞或延迟应用容器的启动,初始化容器执行成功后,Pod内的应用容器会并行启动。例如,检测依赖服务的可用性。初始化容器可以包括一些应用镜像中不存在的实用工具和安装脚本,用来初始化应用容器的运行环境,...
欠费说明
欠费但未超过7天 当您的账户余额不足以支付账单金额,且容器镜像服务ACR EE实例处于欠费状态时,您不能进行变更实例规格、购买资源配额包等操作,但相关的镜像托管及分发等核心功能在7日(7×24即168个小时)内仍可使用,并持续计费。...
使用镜像创建无状态应用
容器服务支持容器组的弹性伸缩,即根据容器CPU和内存资源占用情况自动调整容器组数量。说明 若要启用自动伸缩,您必须为容器设置所需资源,否则容器自动伸缩无法生效。配置项 说明 指标 支持CPU和内存,需要和设置的所需资源类型相同。触发...
创建无状态工作负载Deployment
初始化容器提供了一种机制来阻塞或延迟应用容器的启动,初始化容器执行成功后,Pod内的应用容器会并行启动。例如,检测依赖服务的可用性。初始化容器可以包括一些应用镜像中不存在的实用工具和安装脚本,用来初始化应用容器的运行环境,...
创建有状态工作负载StatefulSet
初始化容器提供了一种机制来阻塞或延迟应用容器的启动,初始化容器执行成功后,Pod内的应用容器会并行启动。例如,检测依赖服务的可用性。初始化容器可以包括一些应用镜像中不存在的实用工具和安装脚本,用来初始化应用容器的运行环境,...
服务运行
本文介绍使用容器服务ACK涉及的服务授权、访问、调度及资源分配等常见问题。如何部署集群的第一个应用?集群中的应用A如何访问应用B?如何将集群内的各节点资源合理的分配给不同容器组?如何将Pod调度到指定ECS节点?如何获取服务Service的...
DescribeContainerGroups-批量查询容器组信息
如果 StdinOnce 设为 true,标准输入在容器开启时被打开,在首个客户端附加到标准输入之前都为空,然后会一直保持开启状态,接收数据,直到客户端连接断开,此时标准输入被关闭,在容器重启前一直保持关闭状态。true Cpu float 容器的 vCPU...
DNS解析异常问题排查
抓包 常见问题及解决方案 集群外部域名解析异常 新增Headless类型域名无法解析 StatefulSets Pod域名无法解析 安全组、交换机ACL配置错误 容器网络连通性异常 CoreDNS Pod负载高 CoreDNS Pod负载不均 CoreDNS Pod运行状态异常 客户端负载...
DNS解析异常问题排查
抓包 常见问题及解决方案 集群外部域名解析异常 新增Headless类型域名无法解析 StatefulSets Pod域名无法解析 安全组、交换机ACL配置错误 容器网络连通性异常 CoreDNS Pod负载高 CoreDNS Pod负载不均 CoreDNS Pod运行状态异常 客户端负载...
Sidecar Acceleration using eBPF
您可以通过使用 tcpdump 等抓包工具,观察连接上是否存在PSH包来判断加速是否生效。加速效果和实际的业务场景以及部署环境相关,因此本文不提供该加速组件开启前后的性能对比。该加速组件是否会对未注入Sidecar的其他Pod之间的请求生效?...
供应链安全
在ACK集群中,您可以通过组件管理安装Kritis-validation-hook组件,组件在开源Kritis阿里云容器镜像服务ACR软件的基础上增加了对的深度集成,支持验证通过阿里云密钥管理服务KMS签名的容器镜像,实现自动验证容器镜像签名。更多信息,请...
快速开始
本文介绍如何将 H5 容器和离线包组件接入到 iOS 客户端。H5 容器和离线包支持 基于 mPaaS 框架接入、基于已有工程且使用 mPaaS 插件接入 和 基于已有工程且使用 CocoaPods 接入 三种接入方式。通过使用 H5 容器和离线包可以实现初始化容器...
- 产品推荐
- 这些文档可能帮助您