启动和停止容器服务
停止容器服务并不是停止容器服务的运行状态,而是关闭容器服务的公网访问能力。创建容器服务后,您可以根据需求启动和停止容器服务。警告 停止容器服务可能导致业务中断,建议您在业务低峰期时执行该操作。操作步骤 登录 轻量应用服务器...
CreateContainerGroup-创建一个容器组
容器配置 设置容器启动命令和参数 使用探针对容器进行健康检查 通过环境变量获取元数据 配置 Security Context 配置 NTP 服务 日志与运维 通过环境变量配置日志采集 设置 core 文件保存到数据卷 调试 您可以在OpenAPI Explorer中直接运行该...
【功能下线】停止支持启动模板功能
弹性容器实例将于2023年12月31日起停止支持启动模板功能。功能下线对正在运行的ECI实例没有影响,但您无法继续使用启动模板功能。下线内容 从2023年12月31日起,弹性容器实例停止支持启动模板功能。下线时间 2023年12月31日 下线影响 下线...
配置Security Context
目前ECI支持配置的参数如下:支持配置的参数 说明 runAsUser 设置运行容器的用户ID。该参数配置会覆盖Dockerfile中的USER指令。runAsGroup 设置运行容器的用户组。runAsNonRoot 取值为true表示以非root模式运行容器。capabilities 为容器内...
使用配置巡检功能检查注册集群Workload安全隐患
示例:tagNotSpecified 通过检查Workload的Pod Spec中的 image 字段的值是否未包含镜像Tag或者使用了latest作为镜像Tag,检查是否未配置运行容器时使用指定Tag的容器镜像。如果未配置,存在运行容器时运行了非预期的容器镜像版本导致业务...
功能特性
Serverless 使用ECI实例,您无需管理底层服务器,也无需关心运行过程中的容量规划,只需提供打包好的镜像,即可运行容器应用。自定义规格 支持多种类型的计算资源来运行容器,可以自定义规格,包括:指定ECI规格:支持指定实例级别或者容器...
什么是弹性容器实例
您无需管理底层服务器,也无需关心运行过程中的容量规划,只需要提供打包好的Docker镜像,即可运行容器,并仅为容器实际运行消耗的资源付费。产品概述 弹性容器实例(简称ECI)是阿里云结合容器和Serverless技术为您提供的容器运行服务。...
使用配置巡检检查集群工作负载
示例:tagNotSpecified 通过检查Workload的Pod Spec中的 image 字段的值是否未包含镜像Tag或者使用了latest作为镜像Tag,检查是否未配置运行容器时使用指定Tag的容器镜像。如果未配置,存在运行容器时运行了非预期的容器镜像版本导致业务...
配置Security Context
目前ECI支持配置的参数如下:支持配置的参数 说明 runAsUser 设置运行容器的用户ID。该参数配置会覆盖Dockerfile中的USER指令。runAsGroup 设置运行容器的用户组。runAsNonRoot 取值为true表示以非root模式运行容器。capabilities 为容器内...
配置Security Context
目前ECI支持配置的参数如下:支持配置的参数 说明 runAsUser 设置运行容器的用户ID。该参数配置会覆盖Dockerfile中的USER指令。runAsGroup 设置运行容器的用户组。runAsNonRoot 取值为true表示以非root模式运行容器。capabilities 为容器内...
方案规划
从开发代码到运行容器化应用,大致需要以下四个阶段:编写代码。使用Dockerfile构建镜像。上传镜像至镜像仓库。您可以使用容器镜像服务ACR来存放镜像。运行容器化应用。您可以使用 容器服务 Kubernetes 版 来一站式管理您的容器化应用。...
为容器节点添加数据盘
容器节点下载镜像的操作,例如运行容器运行时、存储容器的临时存储、记录容器的stdout日志等,会占用大量系统盘资源。影响节点运行的稳定性。您可以使用数据盘作为Kubelet和容器运行时的根目录,从而节省系统盘的资源,提升节点运行的稳定...
实例概述
您对该ECI实例拥有完全的控制权,不需要进行底层服务器的管理和配置操作,只需要提供打包好的容器镜像,即可运行容器。实例规格 一个ECI实例主要包括vCPU和内存规格。创建实例时,可以指定ECI规格(直接指定vCPU和内存),也可以指定ECS...
安全概览
容器服务ACK提供安全概览功能,支持对节点、容器镜像、容器运行时、工作负载配置进行风险识别及安全加固,可以帮助您提升云上资源和业务应用的安全治理效率。本文介绍如何使用容器服务ACK的安全概览功能。使用说明 安全概览功能仅支持ACK...
安全概览
容器服务ACK提供安全概览功能,支持对节点、容器镜像、容器运行时、工作负载配置进行风险识别及安全加固,可以帮助您提升云上资源和业务应用的安全治理效率。本文介绍如何使用容器服务ACK的安全概览功能。使用说明 安全概览功能仅支持ACK...
Runtime安全
通过Seccomp等手段限制容器应用对内核进行系统调用 配置容器或Pod以使用Seccomp配置文件 Linux操作系统有几百个系统调用,但其中大部分不是运行容器所必需的。要开始使用Seccomp,请使用Strace生成堆栈跟踪以查看您的应用程序正在进行哪些...
修复漏洞CVE-2020-8558的公告
本机的运行容器。防范措施 建议您采取以下安全防范措施:当前ACK集群默认关闭API Server 8080非认证端口,请勿手动开启该端口。执行以下命令,在集群中配置iptables规则,用于拒绝非本地对127.0.0.1的访问流量。iptables-I INPUT-dst 127.0...
ACK Edge发布Kubernetes 1.24版本说明
容器运行时 容器运行时升级为Containerd 1.6.20版本。边缘自治特性 edge-hub升级至v0.11.0版本,提供了NodePort端口监听隔离的能力。更多信息,请参见 NodePort端口监听隔离。边缘节点接入 新增带有NVIDIA Tesla A10卡的边缘节点接入。更多...
为什么选择安全沙箱?
Rootless模式:禁止用户以root身份运行容器Runtime和容器。虽然以上措施可以在一定程度上强化runC容器的安全性,降低恶意容器应用攻击Host Kernel的几率,但是仍然无法解决容器逃逸利用Host Kernel漏洞的安全问题。安全沙箱(runV)容器...
runtime
name string 容器运行时名称,ACK 支持以下三种容器运行时。containerd:推荐使用,支持所有集群版本。Sandboxed-Container.runv:安全沙箱容器,提供更高的隔离性,支持 1.24 版本及以下集群。docker:支持 1.22 版本及以下集群。默认值:...
runtime
name string 容器运行时名称,ACK 支持以下三种容器运行时。containerd:推荐使用,支持所有集群版本。Sandboxed-Container.runv:安全沙箱容器,提供更高的隔离性,支持 1.24 版本及以下集群。docker:支持 1.22 版本及以下集群。默认值:...
runtime
name string 容器运行时名称,ACK 支持以下三种容器运行时。containerd:推荐使用,支持所有集群版本。Sandboxed-Container.runv:安全沙箱容器,提供更高的隔离性,支持 1.24 版本及以下集群。docker:支持 1.22 版本及以下集群。默认值:...
基于弹性伸缩和云效实现容器服务的发布部署管理
您无需管理底层服务器,也无需关心运行过程中的容量规划,只需要提供打包好的Docker镜像,即可运行容器,并仅为容器实际运行消耗的资源付费。容器镜像服务ACR 是面向容器镜像、Helm Chart等符合OCI标准的云原生制品安全托管及高效分发平台...
UpdateContainerGroup-更新一个容器组
1 SecurityContext.RunAsUser long 否 用于运行容器进程入口点的 UID。1377 LifecyclePostStartHandlerHttpGetPort integer 否 使用 HTTP 请求方式设置 postStart 回调函数时,HTTP Get 请求检查的端口号。1 InitContainer object[]否 指定...
供应链安全
将USER指令添加到您的Dockerfiles中并以非root用户运行镜像 如Pod安全部分所述,您应该避免以root身份运行容器。您可以将其配置为PodSpec的一部分,但在Dockerfile中使用USER指令是一个好习惯。当设置USER指令后,会以指定的用户运行RUN、...
DescribeContainerGroups-批量查询容器组信息
true RunAsUser long 运行容器的用户 ID。1000 Capability object 容器内的进程所具备的特定权限。Adds array 容器内的进程所具备的特定权限。string 容器内的进程所具备的特定权限。[NET_ADMIN]Memory float 容器内存大小。单位为 GiB。2....
安全沙箱概述
相比于原有Docker运行时,安全沙箱为您提供了一种新的容器运行时选项,可以让您的应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核,具备更好的安全隔离能力。安全沙箱特别适合于不可信应用隔离、故障隔离、性能隔离、多用户间负载隔离...
身份认证和访问控制
这允许容器中的进程对容器中的文件进行任意的读取和写入,但以root身份运行容器并不是最佳安全实践。作为替代方案,请考虑将 spec.securityContext.runAsUser 属性添加到 PodSpec。runAsUser 的值为任意值。在以下示例中,Pod中的所有进程...
配置安全沙箱节点和Docker节点的混合集群
节点池支持多种容器运行时,但一个节点池只能选一种容器运行时。您可以在一个集群创建不同容器运行时节点池,从而创建拥有不同容器运行时节点的混合集群。本文介绍如何在一个集群中混合配置安全沙箱节点池和Docker节点池。前提条件 已创建...
【产品维护】容器服务ACK维护公告
维护期间不影响运行中的容器服务Kubernetes集群和应用,请您提前规划相关的变更。影响范围 系统维护期间,部分管控接口、功能将会被限制调用,您将无法进行以下操作:创建、删除和变更集群,不影响已有集群的运行。创建、删除和变更节点池...
创建边缘节点池
容器运行时 支持containerd和docker运行时。根据Kubernetes版本选择容器运行时。容器运行时与支持的集群版本信息如下。containerd:推荐使用,支持所有集群版本。docker:支持1.22版本及以下集群。更多信息,请参见 如何选择Docker运行时、...
安全沙箱兼容性说明
背景信息 安全沙箱作为一种新的容器运行时,除了在创建安全沙箱(runV)容器时不支持Pod层面的个别字段之外,其他兼容性与runC容器一致,如Pod(Container)网络、Service网络(ClusterIP、NodePort)、镜像等等。用户在使用安全沙箱容器...
创建Windows节点池
容器运行时 仅containerd容器运行时支持Windows节点池。节点池类型 仅支持将非托管节点池创建为Windows节点池。实例规格 不同实例规格对Windows节点池的支持情况不同,有些实例规格不支持Windows节点池,请多次尝试。例如,您可以选择ecs.g...
创建安全沙箱节点池
安全沙箱运行时将应用及其依赖环境运行在一个轻量级虚拟机中,为应用Pod提供独立内核层模拟或者细粒度的隔离层,这样可以有效防止容器内部的恶意攻击或漏洞,避免影响到宿主机或其他容器。容器服务 Kubernetes 版 利用节点池管理节点,本文...
产品优势
弹性容器实例为您提供免运维、弹性、低成本、高效的容器运行环境。核心优势 弹性容器实例的核心优势主要体现在以下几方面:免运维 采用Serverless架构,基础设施托管。您无需关心底层服务器,只需要提交容器镜像;无需预先创建集群和维护...
runC容器和安全沙箱(runV)容器的区别
runC容器和安全沙箱(runV)容器方案对比 配置 runC容器 安全沙箱(runV)容器 容器引擎 Docker、Containerd Containerd 容器所在节点型号 ECS、EBM EBM 容器内核 与宿主机共享内核 独占内核 容器隔离方式 Cgroups和Namespace 轻量虚拟机 ...
升级安全沙箱运行时
您可以通过容器服务Kubernetes版ACK(Container Service for Kubernetes)控制台,可视化地升级您节点上的安全沙箱运行时。本文介绍安全沙箱运行时的升级原理、注意事项以及如何升级安全沙箱运行时。使用限制 仅当您的集群为安全容器集群时...
共享GPU调度
容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)开源了GPU共享调度之后,您能在阿里云、AWS、Google Compute Engine和自己数据中心的容器集群上通过GPU共享调度框架实现多个容器运行在同一个GPU设备上的目标。ACK开源GPU...
什么是容器服务 Kubernetes 版
Kubernetes 版 ACK(Container Service for Kubernetes)是全球首批通过Kubernetes一致性认证的容器服务平台,提供高性能的容器应用管理服务,支持企业级Kubernetes容器化应用的生命周期管理,让您轻松高效地在云端运行Kubernetes容器化...
按需加载容器镜像
传统容器运行需要将全量镜像数据下载后再解包,然而容器启动可能仅使用其中部分的内容,导致容器启动耗时长。通过容器镜像服务企业版的按需加载功能,允许仅下载和解压容器启动所必需的部分,而不是整个镜像,从而大幅提高应用部署速度和...
- 产品推荐
- 这些文档可能帮助您