4m3avu3iz2i5g
4m3avu3iz2i5g_个人页
4m3avu3iz2i5g
文章
0
问答
8
视频
0
个人介绍
暂无个人介绍
擅长的技术
暂无更多信息
2022年10月
-
10.14 22:41:37
提交了问题
2022-10-14 22:41:37
-
10.14 22:40:12提交了问题
2022-10-14 22:40:12
-
10.10 22:42:51
回答了问题
2022-10-10 22:42:51
日志服务控制台提示查询结果不精确,如何处理?
赞0 踩0 评论0 -
10.10 22:40:35提交了问题
2022-10-10 22:40:35
-
10.10 22:39:01提交了问题
2022-10-10 22:39:01
-
10.10 22:35:07提交了问题
2022-10-10 22:35:07
-
10.10 22:31:08提交了问题
2022-10-10 22:31:08
-
10.10 22:27:49提交了问题
2022-10-10 22:27:49
暂无更多信息
-
回答了问题
2022-10-18
RAM角色绘画策略
鉴权流程如下,其他细节请访问:https://help.aliyun.com/document_detail/212436.html
带身份验证的鉴权流程如下:
- 检查身份验证是否成功
用户请求进入OSS后,OSS会对请求携带的签名和服务端计算的签名进行比对。
- 请求签名不匹配,则拒绝访问。
- 请求签名匹配,则继续判断是否为基于角色的会话策略。
- 判断是否为基于角色的会话策略
如果判断结果是基于角色的会话策略,则OSS会对Session Policy进行权限比对。
- 比对结果为Explicit Deny或Implicit Deny,则拒绝访问。
- 比对结果为Allow,则继续检查RAM Policy和Bucket Policy。
如果判断结果不是基于角色的会话策略,也会继续检查RAM Policy和Bucket Policy。
- 分别检查RAM Policy和Bucket Policy
RAM Policy是基于身份的策略。您可以使用RAM Policy控制用户可以访问您名下哪些资源的权限。对于用户级别的访问,需要根据请求的账号类别判断允许或拒绝访问请求。
- 如果使用阿里云账号AccessKey访问,直接返回Implicit Deny。
- 如果使用RAM用户AccessKey或STS的AccessKey访问,但是访问的Bucket不属于阿里云账号或者RAM角色Owner,直接返回Implicit Deny。
- 调用RAM服务提供的鉴权接口对普通请求进行身份鉴权,OSS支持RAM服务通过账号和Bucket所属资源组进行鉴权。检查返回结果为Allow、Explicit Deny或Implicit Deny。
Bucket Policy是基于资源的授权策略,Bucket Owner可以通过Bucket Policy为RAM用户或其他账号授权Bucket或Bucket内资源精确的操作权限。
- 如果未设置Bucket Policy,则直接返回Implicit Deny。
- 如果设置了Bucket Policy,则检查Bucket Policy返回结果是Allow、Explicit Deny或者Implicit Deny。
- 合并结果中是否存在Explicit Deny策略
如果存在,则拒绝访问。如果不存在,则检查是否存在Allow策略。
- 检查RAM Policy或Bucket Policy中是否存在Allow策略。
如果存在Allow策略,则允许访问。如果不存在Allow策略,则判断请求来源。
- 判断请求来源。
如果是管控类API请求,则拒绝访问。如果为数据类API请求,则继续Object ACL或Bucket ACL的鉴权。
管控类API请求包括Service操作(GetService (ListBuckets))、Bucket相关操作(例如PutBucket、GetBucketLifecycle等)、LiveChannel相关操作(例如PutLiveChannel、DeleteLiveChannel等)。
数据类API请求包括Object相关操作,例如PutObject、GetObject等。
- 鉴权Object ACL和Bucket ACL
根据Object ACL进行鉴权时,需要结合请求用户是否为Bucket Owner,以及请求类型为读请求或写请求进行判断。
- 如果判断结果是Allow,则允许访问。
- 如果判断结果是Deny,则拒绝访问。
如果Object ACL为继承Bucket,则继续检查Bucket ACL。
根据Bucket ACL进行鉴权时,需要结合请求用户是否为Bucket Owner进行判断。
- 如果判断结果是Allow,则允许访问。
- 如果判断结果是Deny,则拒绝访问。
赞0 踩0 评论0 -
回答了问题
2022-10-14
EventBridge数量17是怎么回事
支持的地域
地域
公网接入点
VPC接入点
华东1(杭州)
http(s)://<AccountID>.eventbridge.cn-hangzhou.aliyuncs.com
http://<AccountID>.eventbridge.cn-hangzhou-vpc.aliyuncs.com
华东2(上海)
http(s)://<AccountID>.eventbridge.cn-shanghai.aliyuncs.com
http://<AccountID>.eventbridge.cn-shanghai-vpc.aliyuncs.com
华北1(青岛)
http(s)://<AccountID>.eventbridge.cn-qingdao.aliyuncs.com
http://<AccountID>.eventbridge.cn-qingdao-vpc.aliyuncs.com
华北2(北京)
http(s)://<AccountID>.eventbridge.cn-beijing.aliyuncs.com
http://<AccountID>.eventbridge.cn-beijing-vpc.aliyuncs.com
华北3(张家口)
http(s)://<AccountID>.eventbridge.cn-zhangjiakou.aliyuncs.com
http://<AccountID>.eventbridge.cn-zhangjiakou-vpc.aliyuncs.com
华北5(呼和浩特)
http(s)://<AccountID>.eventbridge.cn-huhehaote.aliyuncs.com
http://<AccountID>.eventbridge.cn-huhehaote-vpc.aliyuncs.com
华北6(乌兰察布)
http(s)://<AccountID>.eventbridge.cn-wulanchabu.aliyuncs.com
http://<AccountID>.eventbridge.cn-wulanchabu-vpc.aliyuncs.com
华南1(深圳)
http(s)://<AccountID>.eventbridge.cn-shenzhen.aliyuncs.com
http://<AccountID>.eventbridge.cn-shenzhen-vpc.aliyuncs.com
华南2(河源)
http(s)://<AccountID>.eventbridge.cn-heyuan.aliyuncs.com
http://<AccountID>.eventbridge.cn-heyuan-vpc.aliyuncs.com
华南3(广州)
http(s)://<AccountID>.eventbridge.cn-guangzhou.aliyuncs.com
http://<AccountID>.eventbridge.cn-guangzhou-vpc.aliyuncs.com
西南1(成都)
http(s)://<AccountID>.eventbridge.cn-chengdu.aliyuncs.com
http://<AccountID>.eventbridge.cn-chengdu-vpc.aliyuncs.com
中国香港
http(s)://<AccountID>.eventbridge.cn-hongkong.aliyuncs.com
http://<AccountID>.eventbridge.cn-hongkong-vpc.aliyuncs.com
美国(硅谷)
http(s)://<AccountID>.eventbridge.us-west-1.aliyuncs.com
http://<AccountID>.eventbridge.us-west-1-vpc.aliyuncs.com
美国(弗吉尼亚)
http(s)://<AccountID>.eventbridge.us-east-1.aliyuncs.com
http://<AccountID>.eventbridge.us-east-1-vpc.aliyuncs.com
德国(法兰克福)
http(s)://<AccountID>.eventbridge.eu-central-1.aliyuncs.com
http://<AccountID>.eventbridge.eu-central-1-vpc.aliyuncs.com
新加坡
http(s)://<AccountID>.eventbridge.ap-southeast-1.aliyuncs.com
http://<AccountID>.eventbridge.ap-southeast-1-vpc.aliyuncs.com
日本(东京)
http(s)://<AccountID>.eventbridge.ap-northeast-1.aliyuncs.com
http://<AccountID>.eventbridge.ap-northeast-1-vpc.aliyuncs.com
说明 AccountID是指阿里云(主账号)ID。
赞0 踩0 评论0 -
回答了问题
2022-10-14
Docker运行时和安全沙箱运行时有什么区别?
镜像和容器已然成为应用的打包和交付标准。Kubernetes成为了整个容器云原生应用的标准OS,越来越多的企业和用户选择在ACK中部署自己的应用。容器服务Kubernetes版(ACK)支持Containerd、Docker、安全沙箱三种运行时。本文通过对比三种运行时的实现和使用限制、部署结构,并通过对比Docker和Containerd两种容器引擎常用命令,帮助您根据需求场景选择合适的容器运行时。
容器运行时实现和使用限制的对比
特性
Containerd运行时
Docker运行时
安全沙箱运行时
说明
集群类型
支持托管版、专有版和边缘托管版
支持所有类型
支持托管版和专有版
无
节点型号
支持:
- ECS
- EBM
- 用户自有节点(边缘托管版)
支持:
- ECS
- EBM
支持:
EBM
无
节点OS
支持:
- CentOS
- Alibaba Cloud Linux
- ACK v1.20.4版本的Windows
- Ubuntu、CentOS(边缘托管版)
支持:
- CentOS
- Alibaba Cloud Linux
- Windows
支持:
Alibaba Cloud Linux定制版
- 不支持同一节点同时部署Docker和安全沙箱两种运行时。
- 集群内可以通过创建不同节点池来实现Docker运行时节点和安全沙箱运行时节点混合部署。
容器引擎
支持Containerd
支持Docker
支持Containerd
无
监控
支持
支持
支持
无
容器日志文件采集
支持
支持
手动支持(Sidecar)
有关Sidecar配置,请参见通过Sidecar-CRD方式采集容器文本日志。
容器标准输出采集
支持
支持
支持
无
RuntimeClass
不支持
不支持
支持(runV)
无
Pod调度
无需配置
无需配置
配置如下:
- Kubernetes v1.14.x版本必须为nodeSelector增加以下配置。
alibabacloud.com/sandboxed-container: Sandboxed-Container.runv- Kubernetes v1.16.x以及更高版本不需要任何配置。
无
HostNetwork
支持
支持
不支持
无
exec/logs
支持
支持
支持
无
节点数据盘
可选
可选
必选(不小于200 GiB)
无
网络插件
支持:
- Flannel
- Terway(边缘托管版除外)
支持:
- Flannel
- Terway
支持:
- Flannel
- Terway:仅支持非独占弹性网卡模式。
无
kube-proxy代理模式
支持:
- Iptables
- IPVS
支持:
- Iptables
- IPVS
支持:
- Iptables
- IPVS
无
存储插件
支持CSI Plugin(边缘托管版除外)
支持CSI Plugin
支持CSI Plugin
无
容器RootFS
支持OverlayFS
支持OverlayFS
支持配置磁盘Quota的OverlayFS
无
运行时部署结构对比
运行时
部署结构
Docker
kubelet -> dockerd -> containerd -> containerd-shim -> runC容器Containerd
kubelet -> containerd -> containerd-shim -> runC容器安全沙箱v2
kubelet -> (CRI)containerd \-> containerd-shim -> runC容器 \-> containerd-shim-rund-v2 -> runV安全沙箱容器Docker和Containerd两种容器引擎常用命令对比
Docker运行时和安全沙箱运行时的容器引擎分别是Docker和Containerd。这两种容器引擎都有各自的命令工具来管理镜像和容器。两种容器引擎常用命令对比如下。
命令
Docker
Containerd
docker
crictl(推荐)
ctr
查看容器列表
docker ps
crictl ps
ctr -n k8s.io c ls
查看容器详情
docker inspect
crictl inspect
ctr -n k8s.io c info
查看容器日志
docker logs
crictl logs
无
容器内执行命令
docker exec
crictl exec
无
挂载容器
docker attach
crictl attach
无
显示容器资源使用情况
docker stats
crictl stats
无
创建容器
docker create
crictl create
ctr -n k8s.io c create
启动容器
docker start
crictl start
ctr -n k8s.io run
停止容器
docker stop
crictl stop
无
删除容器
docker rm
crictl rm
ctr -n k8s.io c del
查看镜像列表
docker images
crictl images
ctr -n k8s.io i ls
查看镜像详情
docker inspect
crictl inspecti
无
拉取镜像
docker pull
crictl pull
ctr -n k8s.io i pull
推送镜像
docker push
无
ctr -n k8s.io i push
删除镜像
docker rmi
crictl rmi
ctr -n k8s.io i rm
查看Pod列表
无
crictl pods
无
查看Pod详情
无
crictl inspectp
无
启动Pod
无
crictl runp
无
停止Pod
无
crictl stopp
无
赞0 踩0 评论0 -
回答了问题
2022-10-14
如何将已有的节点添加到集群?
前提条件
使用限制
- 添加的云服务器必须与集群在同一地域同一VPC下。
- ACK仅支持添加同一账号下云服务器。
- ACK支持添加以下操作系统的节点:
- Alibaba Cloud Linux
- CentOS 7.x
说明 暂不支持CentOS 8.x及以上的操作系统。
- Windows Server 2019和Windows Server Core, version 1809及以上
添加实例限制
安全组数量限制
当添加已有实例到节点池时,会将实例加入到节点池安全组中,对于实例已经加入的安全组不会重复加入。由于ECS实例能够加入的安全组有一定的限制,因此需要保证实例加入节点池后实例所加入的安全组数量小于其限制。关于云服务器ECS的使用限制,请参见使用限制。
安全组规则限制
安全组是一种虚拟防火墙,用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。
安全组分为普通安全组、企业安全组和托管安全组,其中托管安全组由云产品创建,且只有创建托管安全组的云产品才有对其规则更改的权限,因此创建节点池时应避免选择托管安全组,否则会造成创建节点池失败。普通安全组和企业安全组的详情和区别如下表所示:
功能
普通安全组
企业安全组
未添加任何规则时的访问策略
- 入方向:拒绝所有访问请求
- 出方向:允许所有访问请求
- 入方向:拒绝所有访问请求
- 出方向:拒绝所有访问请求
能容纳的私网IP地址数量
2000
65536
同一个安全组内实例之间的网络连通策略
默认内网互通
默认内网隔离,需要您手动添加安全组规则
授权给其他安全组
支持组组授权
不支持组组授权
创建节点池时,会为节点池安全组默认添加规则,用于集群内的通信。关于如何配置普通安全组和企业安全组的集群访问规则,请参见最小化集群访问规则。
添加实例到安全组时,需要注意实例已有的安全组规则不应与以下安全组规则冲突,否则将导致Pod之间无法通信:
- Pod网络CIDR
- VPC的附加IPv4网段
弹性网卡限制
当您的网络模式为Terway弹性网卡模式时,需要注意以下内容。如果您使用Flannel模式,请忽略。
- 当添加已有节点到节点池时,已有节点上已经绑定的弹性网卡(ENI)会继续保留,Pod IP会从已经绑定的弹性网卡所关联的vSwitch上分配。请确保添加的节点,弹性网卡只包含一个主网卡。如果您发现Pod IP来源非您配置的vSwitch,您需要将节点移出集群,并删除除主网卡外的辅助网卡,再重新加入集群。
自动添加节点
自动添加节点方式会列出当前账号下可用的ECS云服务器,在Web界面进行安装部署,并自动添加到集群。
说明 如果您的集群没有节点池,请先创建节点池,然后再添加已有节点。关于创建节点池的具体操作,请参见创建节点池。
- 在控制台左侧导航栏中,单击集群。
- 在集群列表页面中,单击目标集群名称或者目标集群右侧操作列下的详情。
- 在集群管理页左侧导航栏中,选择节点管理 > 节点池。
- 在节点池页面,单击目标节点池右侧操作列下的更多,然后单击添加已有节点。
- 在选择已有云服务器实例配置向导页面,选择自动添加已有云服务器实例。
选择添加方式为自动添加,在已有云服务器的列表中,选择所需的ECS云服务器。
- 单击下一步,完成填写实例信息。
配置项
说明
集群ID/名称
当前要添加的集群信息,已默认配置。
数据盘挂载
设置是否将容器和镜像存储在数据盘。
- 如果ECS已挂载数据盘,且最后一块数据盘的文件系统未初始化,系统会自动将最后一块数据盘格式化为ext4,用来存放内容/var/lib/docker、/var/lib/kubelet。
注意 被格式化的数据盘内原有数据将会丢失,请注意提前备份数据。
- 如果ECS未挂载数据盘,则ACK不会自动挂载新的数据盘。
保留实例名称
添加节点时,默认开启保留实例名称。如果您不需要保留实例名称,您可以关闭保留实例名称,此时会按照自定义节点名称指定的规则来重命名节点。
实例信息
添加的云服务器实例的实例ID及实例名称。
- 单击下一步,在添加已有实例到集群对话框中单击确定。
手动添加节点
注意 手动添加到ACK集群的ECS节点不会随集群删除而被释放。
手动添加节点方式要求您获取安装命令,登录到对应ECS云服务器上进行安装,每次只能添加一个ECS云服务器。
说明 如果您的集群没有节点池,请先创建节点池,然后再添加已有节点。关于创建节点池的具体操作,请参见创建节点池。
- 在控制台左侧导航栏中,单击集群。
- 在集群列表页面中,单击目标集群名称或者目标集群右侧操作列下的详情。
- 在集群管理页左侧导航栏中,选择节点管理 > 节点池。
- 在节点池页面,单击目标节点池右侧操作列下的更多,然后单击添加已有节点。
- 在选择已有云服务器实例配置项页面,选择手动添加已有云服务器实例。
选择添加方式为手动添加,在已有云服务器的列表中,选择所需的ECS云服务器。
- 单击下一步,完成填写实例信息。
配置项
说明
集群ID/名称
当前要添加的集群信息,已默认配置。
数据盘挂载
设置是否将容器和镜像存储在数据盘。
- 如果ECS已挂载数据盘,且最后一块数据盘的文件系统未初始化,系统会自动将最后一块数据盘格式化为ext4,用来存放内容/var/lib/docker、/var/lib/kubelet。
注意 被格式化的数据盘内原有数据将会丢失,请注意提前备份数据。
- 如果ECS未挂载数据盘,则ACK不会自动挂载新的数据盘。
保留实例名称
添加节点时,默认开启保留实例名称。如果您不需要保留实例名称,您可以关闭保留实例名称,此时会按照自定义节点名称指定的规则来重命名节点。
实例信息
添加的云服务器实例的实例ID及实例名称。
- 单击下一步,进入添加完成页面。在添加完成页面复制执行命令,单击完成。
- 单击ECS实例右侧的远程连接。在远程连接与命令对话框,选择远程连接方式后进入ECS远程连接界面。
关于远程连接方式,请参见下表:
远程连接方式
说明
Workbench远程连接
关于如何使用Workbench远程连接ECS实例,请参见通过密码或密钥认证登录Linux实例或通过密码或密钥认证登录Windows实例。
VNC远程连接
关于如何使用VNC远程连接ECS实例,请参见通过密码认证登录Linux实例或通过密码认证登录Windows实例。
发送远程命令(云助手)
推荐使用,发送远程命令可以帮助您在实例内部快速执行命令,即无需远程连接登录实例,即可完成查看硬盘空间、安装软件、启动停止服务等操作。该功能通过云助手的命令执行功能实现。关于如何安装或激活云助手客户端,请参见安装云助手客户端。
- 在ECS实例远程连接界面,根据页面指导,输入
步骤8保存的命令,单击执行开始执行脚本。
等待脚本执行成功,该云服务器就添加成功。
执行结果
- 在集群管理页左侧导航栏中,选择节点管理 > 节点池。
- 在节点池页面,单击目标节点池右侧操作列的详情。
- 在目标节点池页面,单击节点管理页签。
可查看刚才添加的节点信息。
赞0 踩0 评论0 -
回答了问题
2022-10-14
RabbitMQ版服务端默认的消息重试机制
重试机制
消息队列RabbitMQ版服务端有默认的消息重试机制,不支持您在Consumer客户端重新配置消息重试机制和关闭消息重试机制。消息队列RabbitMQ版服务端默认的消息重试机制如下:
- 如果您没有开启Consumer客户端消费消息,就不会触发消息重试。
- 如果您开启了Consumer客户端消费消息,消费失败,即Consumer客户端一分钟内没有应答消息,则触发消息重试:
- 重试期间,任何一次消费成功,即Consumer客户端应答消息,则立即停止消息重试。
- 重试时间间隔为60秒。
- 重试最多16次。超过16次,则停止重试。您可以选择:
- 丢弃消息:如果您没有为重试失败的消息所在的Queue配置死信Exchange,则消息重试失败后被丢弃。
- 将消息发送至死信Exchange:如果您为重试失败的消息所在的Queue配置了死信Exchange,则消息重试失败后被发送到死信Exchange,并根据RoutingKey和Binding Key被路由至目标Queue。目标Queue中的消息支持查询和导出。如何配置死信Exchange,请参见死信Exchange。
赞0 踩0 评论0 -
回答了问题
2022-10-14
oss sync文件怎么取消100w限制
以下为同步的注意事项及限制,暂不支持修改。
注意事项
- Binary名称
本文各命令行示例均基于Linux 64位系统,其他系统请将命令开头的./ossutil64替换成对应的Binary名称。详情请参见命令行工具ossutil快速入门。
- 文件数量
通过sync命令执行同步任务时,如果没有携带--delete选项,则单次同步任务同步的文件个数无限制。如果携带了--delete选项,则单次同步任务最多可同步100万个文件。当同步的文件个数超出100万时,将报错over max sync numbers 1000000.。
- sync命令与cp命令的区别
- sync命令强制以递归的方式遍历指定文件夹内所有文件或子文件夹。cp命令需增加-r选项才会进行递归操作。
- 通过sync命令将数据同步到OSS时,ossutil支持通过--delete选项将目的端存在而源端不存在的文件都删除,仅保留本次同步的文件。cp命令不支持--delete选项。
- sync不支持--version-id选项,无法在已开启版本控制的Bucket内同步历史版本文件。cp命令支持--version-id选项。
除以上区别外,sync命令与cp命令用法类似。有关cp命令的用法及示例,请参见cp(上传文件)。
赞0 踩0 评论0 -
回答了问题
2022-10-14
如何在日志样例中设置不可见字符
背景信息
在使用分隔符方式进行数据采集时,日志服务支持将分隔符和引用符设置为不可见字符。不可见字符是ASCII码中编号为1~31及127的字符,指定分隔符和引用符为不可见字符时,您需要查找不可见字符在ASCII码中对应的十六进制数,输入的格式为0x不可见字符在ASCII码中对应的十六进制数。本文假设日志样例为123456780,分隔符为0x01,引用符为0x02,在日志样例5和6之间输入一个不可见字符0x01。
操作步骤
- 在Project列表区域,单击目标Project。
- 在浏览器空白处右键单击检查。
- 单击Console页签。
- 输入如下内容,然后单击回车键。
- 将复制的结果粘贴到日志样例的5和6之间。
如何进入配置页面,请参见使用分隔符模式采集日志。
赞0 踩0 评论0 -
回答了问题
2022-10-14
多元索引中的预留读CU配置支持调整么?
赞0 踩0 评论0 -
提交了问题
2022-10-14
作业监控大盘无数据时,如何处理?
-
提交了问题
2022-10-14
Prometheus数据和告警监控规则能迁移到日志服务中吗?
-
回答了问题
2022-10-11
帮助中心图片无法打开
可以尝试本地防火墙设置,然后重新打开浏览器查看
赞0 踩0 评论0 -
回答了问题
2022-10-11
轻量应用服务器如何提供数据安全保障?
轻量应用服务器已接入阿里云云安全中心,云安全中心通过防勒索、防病毒、防篡改、合规检查等安全能力,实现威胁检测、告警响应、攻击溯源的自动化安全运营闭环,保护您的轻量应用服务器的安全。
赞0 踩0 评论0 -
回答了问题
2022-10-11
-
回答了问题
2022-10-11
子账号没有权限,如何申请?
可以有主账号为其分配权限,根据个人中心的信息查找主账号在申请
赞0 踩0 评论0 -
回答了问题
2022-10-10
-
回答了问题
2022-10-10
日志服务控制台提示查询结果不精确,如何处理?
日志切片
赞0 踩0 评论0 -
提交了问题
2022-10-10
OSS能将存储部署在公司本地吗?
-
提交了问题
2022-10-10
包年更划算吗?以及那个购买包年,能否转为按量计费?
-
提交了问题
2022-10-10
怎么选择存储产品?零售数据存储使用NAS还是OSS?
-
提交了问题
2022-10-10
开通回收站以后,回收站内的文件是否还计费呢?怎么计费?
滑动查看更多
暂无更多信息