日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

容器安全FAQ

本文介紹應用容器安全的常見問題及解決方案。

為什么容器之間的網絡不通?

您可以參考以下步驟解決容器服務Kubernetes集群由于安全組導致網絡不通的問題。

  • 入方向授權對象Pod 網絡CIDR,且協議類型全部的規則已被刪除。

    1. 登錄容器服務管理控制臺,在左側導航欄選擇集群

    2. 集群列表頁面,單擊目標集群名稱,然后在左側導航欄,選擇集群信息

    3. 集群信息頁面,選擇基本信息頁簽,單擊控制面安全組右側的鏈接進入ECS控制臺的安全組頁面。

    4. 安全組頁面的入方向頁簽下,單擊手動添加

    5. 填寫協議類型端口范圍授權對象,并單擊保存

      說明
      • 協議類型請選擇全部

      • 授權對象填寫為Pod的網段地址。

        Pod的網段地址(Pod網絡CIDR)可在容器服務管理控制臺集群詳細信息頁面,集群信息區域查看。集群信息

        授權對象的設置,可參見安全組應用案例

      入方向授權對象為Pod網絡CIDR,且協議類型全部的規則已添加。

  • 新增ECS實例的安全組與集群所在的安全組不同。

    1. 登錄容器服務管理控制臺,在左側導航欄選擇集群

    2. 集群列表頁面,單擊目標集群名稱,然后在左側導航欄,選擇集群信息

    3. 集群信息頁面,選擇基本信息頁簽,查看并記錄安全組右側的安全組ID。

    4. 將目標ECS實例加入上一步查到的集群安全組中。將ECS實例加入指定安全組的相關操作,請參見將實例加入、移出或替換安全組

如何給Kubernetes集群指定安全組?

當前暫不支持給Kubernetes集群指定安全組。但是創建Kubernetes集群時,容器服務ACK會自動創建一個默認安全組,您可以通過修改默認安全組的規則,達到指定安全組的效果。

集群審計功能是否可以取消或者在創建集群后再部署?

可以。具體操作,請參見使用集群API Server審計功能

Kubernetes專有版本集群如何更換證書有效期,以及如何更換各個組件的證書?

Pod無法創建,報錯詳情:no providers available to validate pod request

Secret在新建的Namespace下面無法使用

Secret是命名空間級別的,您需要在新建的Namespace下新建Secret。

無法掛載default-token

無法掛載default-token,具體報錯信息如下:

Normal Scheduled 13m default-scheduler Successfully assigned dev/alibaba-demo-67fcdbfb8-zklnp to cn-hangzhou.10.7.3.16  Warning FailedMount 13m (x2 over 13m) kubelet, cn-hangzhou.10.7.3.16 MountVolume.SetUp failed for volume 'default-token-8twx9' : mount failed: exit status 1 Mounting command: systemd-run Mounting arguments: --description=Kubernetes transient mount for /var/lib/kubelet/pods/62d39b35-9a4d-11ea-9870-c24d56a0e904/volumes/kubernetes.io~secret/default-token-8twx9 --scope -- mount -t tmpfs tmpfs /var/lib/kubelet/pods/62d39b35-9a4d-11ea-9870-c24d56a0e904/volumes/kubernetes.io~secret/default-token-8twx9 Output: Failed to start transient scope unit: Argument list too long  Warning FailedCreatePodContainer 3m40s (x49 over 13m) kubelet, cn-hangzhou.10.7.3.16 unable to ensure pod container exists: failed to create container for [kubepods burstable pod62d39b35-9a4d-11ea-9870-c24d56a0e904] : Argument list too long

Systemd版本太老舊。

  • 升級Systemd,具體操作,請參見systemd

  • 執行sudo systemctl daemon-reload命令重啟清零。更多信息,請參見systemd

審計日志查詢方法

RBAC相關變更操作的審計日志查詢方法

  1. 登錄容器服務管理控制臺,在左側導航欄選擇集群

  2. 集群列表頁面,單擊目標集群名稱,然后在左側導航欄,選擇集群信息

  3. 集群信息頁面,選擇基本信息頁簽,單擊審計日志右側的鏈接。

  4. 日志存儲 > 日志庫頁面,選擇對應的 audit-<cluster_id>,單擊頁面右上角的查詢 / 分析

  5. 在頁面頂端的下拉列表中,選擇需要查詢的時間范圍,例如最近15分鐘。

    說明

    時間段覆蓋的范圍是正常到出現問題時的這段時間,例如3天、7天或15天。

  6. 查詢 / 分析文本框中,輸入以下SQL查詢命令,然后單擊頁面右上角的查詢 / 分析

    requestURI: "rbac.authorization.k8s.io" not (verb: get or verb: watch) 
  7. 單擊45圖標,選擇下載日志,在彈出的日志下載對話框,選中通過Cloud Shell下載,單擊確認

ConfigMap相關變更操作的審計日志查詢方法

查詢 / 分析文本框中輸入以下SQL查詢命令,然后單擊查詢 / 分析。更多操作,請參見審計日志查詢方法

requestURI: "configmaps" and <configmap_name> not (verb: get or verb: watch or verb: list) 
說明

上述查詢命令在查詢時,需要將<configmap_name>替換為實際的ConfigMap名稱。

Deployment的Pod擴縮容相關操作的審計日志查詢方法

查詢 / 分析文本框中輸入以下SQL查詢命令,然后單擊查詢 / 分析。更多操作,請參見審計日志查詢方法

requestURI: deployments and (verb: update or verb: patch) and replicas and deployments and <deployment_name> not deployment-controller
說明

上述查詢命令在查詢時,需要將<deployment_name>替換為實際的Deployment名稱。