华为云用户手册

  • 合理设置并行度 任务运行的速度和并行度相关,一般来说提升并行度能有效提升读取的速度,但是过大的并行度可能导致部分节点资源的浪费,过小的并行度可能导致部分节点运行缓慢。对于SQL当前不能手动指定每个Task的并行度,指定的是所有Task统一的并行度。 推荐Source的并行度由上游组件推断设置,对于流系统,与上游的分区数相同(例如Kafka的Topic分区数);对于批系统,与上游的切片数相同(例如HDFS的block数量)。 Flink作业中有Source、Sink、中间计算算子的并行度可以调整。通过分析作业流图,如果发现是中间计算Busy就需要通过调整整个作业并行度来调整这类算子的并行度,常见的如join算子。
  • 操作场景 SFS容量型文件系统除了支持多VPC访问,还支持跨账号跨VPC访问。 只要将其他账号使用的VPC的VPC ID添加到SFS容量型文件系统的权限列表下,且云服务器IP地址或地址段被添加至授权地址中,则实际上不同账号间的云服务器也能共享访问同一个文件系统。 更多关于VPC的信息请参见虚拟私有云 VPC。 SFS Turbo文件系统基于VPC的对等连接功能,实现跨账号访问。更多关于VPC对等连接功能信息和实现方法请参见VPC对等连接。 本章节介绍SFS容量型文件系统如何实现跨账号跨VPC访问。SFS容量型文件系统目前仅北京四支持跨账号访问功能。
  • SFS容量型操作步骤 登录弹性文件服务管理控制台。 在文件系统列表中单击目标文件系统名称,进入权限列表界面。 可以为文件系统添加多个其他账号使用的VPC,单击“租户授权添加VPC”,弹出“租户授权添加VPC”对话框。如图1所示。 图1 租户授权添加VPC 可以根据参数说明如表1所示完成添加。 表1 参数说明 参数 说明 虚拟私有云 添加VPC的VPC ID。VPC ID可以前往虚拟私有云控制台,查看目标VPC详情获取。 授权地址 只能输入一个IPv4地址/地址段。 输入的IPv4地址/地址段必须合法,且不能为除0.0.0.0/0以外之前0开头的IP地址或地址段,其中当设置为0.0.0.0/0时表示VPC内的任意IP。同时,不能为127以及224~255开头的IP地址或地址段,例如127.0.0.1,224.0.0.1,255.255.255.255,因为以224-239开头的IP地址或地址段是属于D类地址,用于组播;以240-255开头的IP地址或地址段属于E类地址,用于研究。使用非合法的IP或IP地址段可能会导致添加访问规则失败或者添加的访问规则无法生效。 无法输入多个地址,如:10.0.1.32,10.5.5.10用逗号分隔等形式的多个地址。 如果要表示一个地址段,如192.168.1.0-192.168.1.255的地址段应使用掩码形式:192.168.1.0/24,不支持192.168.1.0-255等其他地址段表示形式。掩码位数的取值为0到31的整数,且只有为0.0.0.0/0时掩码位数可取0,其他情况均不合法。 优先级 优先级只能是0-100的整数。0表示优先级最高,100表示优先级最低。同一VPC内挂载时会优先使用该优先级高的IP地址/地址段所拥有的权限,存在相同优先级时会优先匹配最新添加或修改的IP地址/地址段。例如:用户在执行挂载操作时的IP地址为10.1.1.32,而在已经授权的IP地址/地址段中10.1.1.32(读写)优先级为100和10.1.1.0/24(只读)优先级为50均符合要求,则用户权限会使用优先级为50的10.1.1.0/24(只读)的只读权限。10.1.1.0/24内的所有地址包括10.1.1.32,在无其他授权优先级的情况下,则将会使用优先级为50的10.1.1.0/24(只读)的只读权限。 读或写权限 分为读/写权限和只读权限。默认为“读/写”。 用户权限 设置是否保留共享目录的UID和GID。默认为“no_all_squash”。 all_squash:共享文件的UID(User ID)和GID(Group ID)映射给nobody用户,适合公共目录。 no_all_squash:保留共享文件的UID和GID。 CIFS类型的文件系统添加授权地址时,不涉及该参数。 用户root权限 设置是否允许客户端的root权限。默认为“no_root_squash”。 root_squash:不允许客户端以root用户访问,客户端使用root用户访问时映射为nobody用户。 no_root_squash:允许客户端以root用户访问,root用户具有根目录的完全控制访问权限。 CIFS类型的文件系统添加授权地址时,不涉及该参数。 单击“确定”,完成添加。添加成功的VPC会出现在列表中。 单击VPC名称左边的,可以查看目标VPC添加的IP地址/地址段的详细信息。可以对其进行添加、编辑和删除IP地址/地址段的操作。在目标VPC的“操作”列,单击“添加”,弹出“添加授权地址”的弹窗,如图2所示。可以根据参数说明如表1所示完成添加。 图2 增加授权地址
  • 查看微服务 进入微服务,在微服务列表页单击微服务名称,可查看微服务详细信息。 概览 概览页展示微服务的创建人、创建时间以及代码源等信息,可根据需要编辑微服务语言、关联的代码仓库和描述信息。 更换代码仓库时,如果微服务下存在没有关闭的变更或运行中的流水线,页面会弹出“数据处理”侧滑框,需先关闭所有变更并停止所有运行中的流水线。 变更 管理微服务下的变更信息,详情请参见变更管理。 流水线 管理微服务下的流水线资源,微服务下的流水线和普通流水线有如下区别: 微服务中,创建流水线时代码仓库不可更改,默认与微服务绑定的代码仓库一致。 修改微服务的代码仓库,微服务下所有流水线配置的代码库会自动更改。 微服务中,可创建一条“变更流水线”,用于联动微服务下的变更,发布变更资源,更多变更流水线的说明,参见变更与流水线。 父主题: 微服务管理
  • 函数 表达式中可使用如下内置函数。 contains 格式 contains(search, item) 含义 如果“search”包含“item”,则函数返回“true”。如果“search”是一个数组,那么如果“item”是数组中的一个元素,则此函数返回“true”;如果“search”是一个字符串,那么如果“item”是“search”的子字符串,则函数返回“true”。 示例 contains('abc', 'bc') ,函数将返回“true”。 startsWith 格式 startsWith(searchString, searchValue) 含义 如果“searchString ”以“searchValue”开始,则函数返回“true ”。 示例 startsWith('abc', 'ab'),函数将返回“true”。 endsWith 格式 endsWith(searchString, searchValue) 含义 如果“searchString”以“searchValue”结束,则函数返回“true”。 示例 endsWith('abc', 'bc'),函数将返回“true”。 对象筛选器 使用“*”语法应用筛选器并选择集合中的匹配项。 示例: 如下是流水线某次运行的jobs上下文。 则“jobs.*.status”返回“[ 'COMPLETED', 'FAILED' ]”。 可结合contains函数一起使用,如:contains(jobs.*.status, 'FAILED'),函数将返回“true”。 { "check_job": { "status": "COMPLETED", "metrics": { "critical": "0", "major": "0" } }, "demo_job": { "status": "FAILED" } }
  • 查看变更 进入变更列表页,在变更列表页单击变更标题,进入变更详情页面。 页面展示变更概览信息、关联工作项、操作历史,还可以对变更执行提交发布、退出发布、撤销变更操作。 以下详细介绍提交发布、退出发布、撤销变更具体操作: 提交发布 针对阶段状态为“开发中”的变更,在变更详情页单击“提交发布”,弹出“提交变更”对话框。 如果微服务下不存在变更流水线,请根据提示创建变更流水线,创建流程请参见变更与流水线。 如果微服务下存在变更流水线,直接单击“确定”,即可将变更提交到变更流水线。 提交发布后,变更状态由“开发中”改变为“待发布”。 退出发布 针对阶段状态为“待发布”或“发布中”的变更,在变更详情页单击“退出发布”,弹出“退出发布”对话框。 单击“确定”,即可将变更退出变更流水线的发布列表,变更状态重置为“开发中”。 阶段状态为“发布中”的变更,如果变更流水线正在运行,则需要等待变更流水线运行完成或停止变更流水线后才可以退出发布。 撤销变更 针对阶段状态为“开发中”的变更,在变更详情页单击“撤销变更”,弹出“撤销变更”对话框。 单击“确定”,即可将变更状态改为“已撤销”。 父主题: 变更管理
  • 请求示例 “endpoint”即调用API的请求地址,不同服务不同区域的“endpoint”不同,具体请参见终端节点。 例如,服务部署在“华北-北京四”区域的“endpoint”为“image.cn-north-4.myhuaweicloud.com”,请求URL为“https://image.cn-north-4.myhuaweicloud.com/v2/{project_id}}/image/main-object-detection”,“project_id”为项目ID,获取方法请参见获取项目ID和名称。 方式一:使用图片的BASE64编码,判断图片主体并返回主体坐标,置信度的阈值为30。 POST https://{endpoint}/v3/{project_id}image/main-object-detection { "image" : "/9j/4AAQSkZJRgABAgEASABIAAD/4RFZRXhpZgAATU0AKgAAAAgABwESAAMAAAABAAEAAAEaAAUAAAABAAAAYgEbAA...", "url" : "", "threshold" : 30 } 方式二:使用图片URL,判断图片主体并返回主体坐标,置信度的阈值为30。 POST https://{endpoint}/v3/{project_id}image/main-object-detection { "image" : "", "url" : "https://BucketName.obs.myhuaweicloud.com/ObjectName", "threshold" : 30 }
  • 响应示例 状态码: 200 成功响应结果 { "result" : [ { "label" : "bounding_box", "location" : { "height" : 133.32, "top_left_x" : 53.13, "top_left_y" : 254.21, "width" : 117.58 }, "confidence" : "92.38" }, { "label" : "main_object_box", "location" : { "height" : 261.32, "top_left_x" : 256.13, "top_left_y" : 85.21, "width" : 139.58 }, "confidence" : "66.38" } ] } 状态码: 400 失败响应结果 { "error_code" : "AIS.0005", "error_msg" : "The service does not exist." }
  • 响应参数 状态码: 200 表4 result 参数 参数类型 描述 result Array of ImageMainObjectDetectionInstance objects 主体列表集合。 表5 ImageMainObjectDetectionInstance 参数 参数类型 描述 label String 主体的类别,现阶段分为:main_object_box(主要主体)和bounding_box(边缘主体)。 location location object 目标检测框位置信息,包括4个值: width:检测框区域宽度 height:检测框区域高度 top_left_x:检测框左上角到垂直轴距离 top_left_y:检测框左上角到水平轴距离 confidence String 主体框的置信度。将Float型置信度转为String类型返回,Float取值范围(0~100)。 状态码: 400 表6 响应Body参数 参数 参数类型 描述 error_code String 调用失败时的错误码,具体请参见错误码。 调用成功时无此字段。 error_msg String 调用失败时的错误信息。 调用成功时无此字段。
  • 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 用于获取操作API的权限。获取方法请参见 获取Token 接口,响应消息头中X-Subject-Token的值即为Token。 表3 请求Body参数 参数 是否必选 参数类型 描述 image 否 String 与url二选一 图像数据,base64编码,要求base64编码后大小不超过10M,最短边至少1px,最长边最大10000px,支持JPEG/PNG/BMP/WEBP格式。 url 否 String 与image二选一 图片的URL路径,目前支持: 公网HTTP/HTTPS URL 华为云OBS提供的URL,使用OBS数据需要进行授权。包括对服务授权、临时授权、匿名公开授权。详情参见配置OBS服务的访问权限。 说明: 接口响应时间依赖于图片的下载时间,如果图片下载时间过长,会返回接口调用失败。 请保证被检测图片所在的存储服务稳定可靠,建议您使用华为云OBS存储。 threshold 否 Float 置信度的阈值(0~100),低于此置信数的检测结果,将不会返回。 默认值:30,最小值:0,最大值:100。
  • 海外自建全力防高级版 华为云原生防护全力防高级版(海外)主要服务亚太(不含中国大陆)地区,若客户有非亚太地区以及中国大陆跨境访问的客户端,请提前做好网络测试,华为云原生防护全力防高级版(海外)服务不承诺非亚太地区和中国大陆跨境的网络访问质量和防护能力,客户确认接受该风险后方可接入。 海外网络环境比较复杂,偶尔可能会有运营商网络波动,如果客户业务有长连接业务,使用原生防护全力防高级版在海外运营商网络波动异常场景触发机房调度可能会导致长连接断连需要重新建立长连接,请客户知晓此项风险。 如果同一个源IP短时间内频繁发起大量异常连接状态的报文时,需要通过配置连接防护策略,才能将该源IP纳入黑名单中进行封禁惩罚,等封禁结束后可恢复访问。 如果需要配置连接防护策略,需要您评估正常业务日常目的IP地址并发连接数和目的IP地址新建连接速率,超出则会触发启动针对TCP连接耗尽攻击的防御,评估正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率,作为拉黑源IP的条件,如果配置过小会有把正常源IP拉黑的风险。可参考配置连接防护。 如果不配置连接防护策略,或者配置目的IP地址并发连接数和目的IP地址每秒新建连接速率触发阈值过大,或者配置正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率阈值过大,可能会有源站后端连接被打满的风险。 请客户根据历史攻击情况评估是否需要开启四层CC连接类攻击防护,并知晓会有拉黑正常源IP的风险,如果需要使用,请联系后台配置。
  • 国内高防 如果同一个源IP短时间内频繁发起大量异常连接状态的报文时,需要通过配置连接防护策略,才能将该源IP纳入黑名单中进行封禁惩罚,等封禁结束后可恢复访问。 如果需要配置连接防护策略(仅云原生全力防高级版和高防支持,可联系保障同事配置),需要您评估正常业务日常目的IP地址并发连接数和目的IP地址新建连接速率,超出则会触发启动针对TCP连接耗尽攻击的防御,评估正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率,作为拉黑源IP的条件,如果配置过小会有把正常源IP拉黑的风险。可参考配置连接防护。 如果不配置连接防护策略,或者配置目的IP地址并发连接数和目的IP地址每秒新建连接速率触发阈值过大,或者配置正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率阈值过大,可能会有源站后端连接被打满的风险。 请客户根据历史攻击情况评估是否需要开启四层cc连接类攻击防护,并知晓会有拉黑正常源IP的风险,如果需要使用,请联系后台配置。 IP接入方式存在单线路单点故障风险,当机房掉电,运营商线路故障,机房硬件设施故障等场景,造成服务IP不可用或者IP存在大量丢包时延增加的情况无法保证客户业务连续性,无法承诺服务SLA,请客户充分知悉上述风险,实例IP接入的客户在发生单点故障时华为云后台无法进行调度。 推荐客户购买一个备用实例,故障发生时客户评估自行调度流量到备用实例IP,进行故障的恢复。或者通过 域名 接入高防能够在该高防IP故障情况下自动调度到其他机房高防IP,如果客户源站在华为云上,优选推荐使用云原生基础版/高级版接入。 请客户检查弹性带宽阈值,流量达到弹性带宽阈值会被机房封堵。 弹性防护带宽是先防护后缴费,请客户把弹性防护带宽阈值调整到比以往的最大攻击流量带宽更高。 请客户对齐高防域名/IP接入的业务总带宽和购买高防实例的带宽是否一致,如果购买高防实例的业务带宽比实际域名/IP接入的总带宽小,可能会有被限速风险。 需要评估是否需要扩容业务带宽或者申请短期暂时后台放大业务带宽。 客户源站IP是否有对外暴露过,高防防护原理就是隐藏源站IP, 如果暴露过有被绕过高防直接打源站IP的风险。 有暴露过源站IP需要提醒客户更换没有暴露过的IP作为高防源站。 如果客户业务有长连接业务,使用云原生全力防高级版/高防在网络波动异常场景触发机房调度可能会导致长连接断连需要重新建立长连接。 有长连接场景的客户建议使用云原生基础版,云原生高级版和高防在丢包率高的异常场景会触发调度到其他机房,调度瞬间可能会导致长连接断连需要重新建立长连接。 接入业务稳定后尽量不要调整界面上的配置,以免比如打开一些封禁协议开关影响业务。 请在接入正式业务前进行充分测试。 如果客户业务没有海外流量访问。 建议您在防护策略界面上封禁海外流量。 以上风险请知悉!
  • 原生防护-标准版 标准版防护能力只有20G,如果不满足防护需求,可以购买全力防基础版。 如果同一个源IP短时间内频繁发起大量异常连接状态的报文时,需要通过配置连接防护策略,才能将该源IP纳入黑名单中进行封禁惩罚,等封禁结束后可恢复访问。 如果需要配置连接防护策略(仅云原生全力防高级版和高防支持,可联系保障同事配置),需要您评估正常业务日常目的IP地址并发连接数和目的IP地址新建连接速率,超出则会触发启动针对TCP连接耗尽攻击的防御,评估正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率,作为拉黑源IP的条件,如果配置过小会有把正常源IP拉黑的风险。可参考配置连接防护。 如果不配置连接防护策略,或者配置目的IP地址并发连接数和目的IP地址每秒新建连接速率触发阈值过大,或者配置正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率阈值过大,可能会有源站后端连接被打满的风险。 请客户根据历史攻击情况评估是否需要开启四层CC连接类攻击防护,如果需要,请使用云原生全力防高级版。 3. 如果客户业务没有UDP协议,建议客户在防护策略界面上封禁UDP。 以上风险请知悉!
  • 海外自建高防 华为云海外高防主要服务亚太(不含中国大陆)地区,若客户有非亚太地区以及中国大陆跨境访问的客户端,请提前做好网络测试,华为云海外高防服务不承诺非亚太地区和中国大陆跨境的网络访问质量和防护能力,客户确认接受该风险后方可接入。 海外网络环境比较复杂,偶尔可能会有运营商网络波动,有长连接场景的客户在运营商网络波动丢包率高的异常场景可能会导致长连接断连需要重新建立长连接,请客户知晓此项风险。 如果同一个源IP短时间内频繁发起大量异常连接状态的报文时,需要通过配置连接防护策略,才能将该源IP纳入黑名单中进行封禁惩罚,等封禁结束后可恢复访问。 如果需要配置连接防护策略,需要您评估正常业务日常目的IP地址并发连接数和目的IP地址新建连接速率,超出则会触发启动针对TCP连接耗尽攻击的防御,评估正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率,作为拉黑源IP的条件,如果配置过小会有把正常源IP拉黑的风险。可参考配置连接防护。 如果不配置连接防护策略,或者配置目的IP地址并发连接数和目的IP地址每秒新建连接速率触发阈值过大,或者配置正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率阈值过大,可能会有源站后端连接被打满的风险。 请客户根据历史攻击情况评估是否需要开启四层CC连接类攻击防护,并知晓会有拉黑正常源IP的风险,如果需要使用,请联系后台配置。
  • CDN调度规则知会 CDN切换到高防 连续3分钟内3次触发QPS超过阈值或连续10分钟内出现6次以上,并且CDN/DCDN上流量不超过10Gbps业务流量,触发切换流程。(cdn数据上报有3-4分钟延迟, 总体调度延迟可能6-7分钟)。 高防回切到CDN 连续12小时以上,域名QPS低于QPS阈值的80%,触发回切流程。回切时间范围:上午08时到晚上23时,其他时间不触发回切。 请客户做好手动调度到高防CNAME的准备。
  • 海外全力防高级版(nxg) 使用海外全力防高级版如果涉及跨境访问(大陆访问海外高防),可能会增加150-200ms时延。 当前海外全力防高级版产品是转售产品,需要通过线下接入方式给客户配置,并且客户在界面上无法看到报表和防护策略配置。 海外网络环境比较复杂,偶尔可能会有运营商网络波动,有长连接场景的客户在运营商网络波动丢包率高的异常场景可能会导致长连接断连需要重新建立长连接,请客户知晓此项风险。 海外全力防高级版不支持四层CC防护,不支持连接类防御。 客户首次业务接入,建议接入测试业务免费测试三天(供应商只在工作日时间接受测试),免费测试期间提供不超过10G防护,客户如果有攻击打流测试需求需要额外申请。
  • 原生防护-全力防高级版 使用云原生全力防高级版需要在EIP购买处选择5_DDoSAlways1bgp池子的EIP,需要更换EIP。 客户知晓此项需要更换EIP的限制并且能够接受,高级版IP需要提前几分钟加到防护策略里,因为高级版IP启用的时候需要过几分钟才能完全生效。 如果同一个源IP短时间内频繁发起大量异常连接状态的报文时,需要通过配置连接防护策略,才能将该源IP纳入黑名单中进行封禁惩罚,等封禁结束后可恢复访问。 如果需要配置连接防护策略(仅云原生全力防高级版和高防支持,可联系保障同事配置),需要您评估正常业务日常目的IP地址并发连接数和目的IP地址新建连接速率,超出则会触发启动针对TCP连接耗尽攻击的防御,评估正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率,作为拉黑源IP的条件,如果配置过小会有把正常源IP拉黑的风险。可参考配置连接防护。 如果不配置连接防护策略,或者配置目的IP地址并发连接数和目的IP地址每秒新建连接速率触发阈值过大,或者配置正常源IP最大并发连接数和正常源IP最大的每秒新建连接速率阈值过大,可能会有源站后端连接被打满的风险。 请客户根据历史攻击情况评估是否需要开启四层CC连接类攻击防护,并知晓会有拉黑正常源IP的风险,如果需要使用,请联系后台打开白名单。 如果有找过DDoS后台调大过带宽档位,如果在界面上调整清洗档位,会有覆盖原本调大带宽的风险。 请客户业务在现网跑稳定后尽量不要在界面上调整清洗档位。 原生防护全力防高级版专属IP在实例过期后或者将IP从实例中移除,IP会被移到拉黑防护对象,业务将不可用。 原生防护全力防高级版专属IP在实例快过期前更换成普通EIP, 日常不要将高级版IP从高级版实例里移除。 如果客户购买的原生防护全力防高级版实例的带宽比加到原生防护全力防高级版实例的EIP/ELB购买的总带宽小,EIP/ELB可能在原生防护高级版实例里会有被限速风险。 请客户对齐加到原生防护全力防高级版实例的EIP/ELB购买的总带宽和原生防护全力防高级版实例的带宽是否一致,评估是否需要扩容原生防护实例带宽或者申请短期暂时后台放大原生防护实例带宽。 如果客户业务有长连接业务,使用云原生全力防高级版/高防在网络波动异常场景触发机房调度可能会导致长连接断连需要重新建立长连接。 有长连接场景的客户建议使用云原生基础版,云原生高级版和高防在丢包率高的异常场景会触发调度到其他机房,调度瞬间可能会导致长连接断连需要重新建立长连接。 如果客户业务没有UDP协议,建议客户在防护策略界面上封禁UDP。 如果客户业务没有海外流量访问,建议客户在防护策略界面上封禁海外流量。 接入业务稳定后尽量不要调整界面上的配置,以免比如打开一些封禁协议开关影响业务。 请客户在接入正式业务前进行充分测试。 以上风险请知悉!
  • 海外高防(nxg) 使用海外高防如果涉及跨境访问(大陆访问海外高防),可能会增加150-200ms时延。 当前海外高防产品是转售产品,需要通过线下接入方式给客户配置,并且客户在界面上无法看到报表和防护策略配置。 海外网络环境比较复杂,偶尔可能会有运营商网络波动,有长连接场景的客户在运营商网络波动丢包率高的异常场景可能会导致长连接断连需要重新建立长连接,请客户知晓此项风险。 需要客户确认业务有没有API调用,如果客户业务有API调用,有机机调用场景,需要注意不能开启人机认证模式。 需要确认客户有没有CC防护需求,有CC防护需求需要海外高防开启限制源IP每秒请求量与每分钟请求量。如正常单个源IP每秒不超过50请求,每分钟不超过300请求。 客户首次业务接入,建议接入测试业务免费测试三天(供应商只在工作日时间接受测试),免费测试期间提供不超过10G防护,客户如果有攻击打流测试需求需要额外申请。
  • CCE存储类型选择 创建工作负载时,可以使用以下类型的存储。建议将工作负载pod数据存储在 云存储 上。若存储在本地磁盘上,节点异常无法恢复时,本地磁盘中的数据也将无法恢复。 本地硬盘:将容器所在宿主机的文件目录挂载到容器的指定路径中(对应Kubernetes的HostPath),也可以不填写源路径(对应Kubernetes的EmptyDir),不填写时将分配主机的临时目录挂载到容器的挂载点,指定源路径的本地硬盘数据卷适用于将数据持久化存储到容器所在宿主机,EmptyDir(不填写源路径)适用于容器的临时存储。配置项(ConfigMap)是一种用于存储工作负载所需配置信息的资源类型,内容由用户决定。密钥(Secret)是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型,内容由用户决定。 云硬盘存储卷:CCE支持将EVS创建的云硬盘挂载到容器的某一路径下。当容器迁移时,挂载的云硬盘将一同迁移。这种存储方式适用于需要永久化保存的数据。 文件存储卷: CCE支持创建SFS存储卷并挂载到容器的某一路径下,也可以使用底层SFS服务创建的文件存储卷,SFS存储卷适用于多读多写的持久化存储,适用于多种工作负载场景,包括 媒体处理 、内容管理、大数据分析和分析工作负载程序等场景。 对象存储卷:CCE支持创建OBS对象存储卷并挂载到容器的某一路径下,对象存储适用于云工作负载、数据分析、内容分析和热点对象等场景。 极速文件存储卷:CCE支持创建SFS Turbo极速文件存储卷并挂载到容器的某一路径下,极速文件存储具有按需申请,快速供给,弹性扩展,方便灵活等特点,适用于DevOps、容器微服务、企业办公等应用场景。
  • 解决方法 一般情况下,您需要从证书提供商处获取有效的合法证书。如果您需要在测试环境下使用,您可以自建证书和私钥,方法如下: 自建的证书通常只适用于测试场景,使用时界面会提示证书不合法,影响正常访问,建议您选择手动上传合法证书,以便通过浏览器校验,保证连接的安全性。 自己生成tls.key。 openssl genrsa -out tls.key 2048 将在当前目录生成一个tls.key的私钥。 用此私钥去签发生成自己的证书。 openssl req -new -x509 -key tls.key -out tls.crt -subj /C=CN/ST=Beijing/O=Devops/CN=example.com -days 3650 生成的私钥格式必须为: ----BEGIN RSA PRIVATE KEY----- …………………………………………….. -----END RSA PRIVATE KEY----- 生成的证书格式必须为: -----BEGIN CERTIFICATE----- …………………………………………………………… -----END CERTIFICATE----- 导入证书。 新建TLS密钥时,对应位置导入证书及私钥文件即可。
  • CCE节点上监听的端口列表 表1 Node节点监听端口 目的端口 协议 端口说明 10248 TCP kubelet健康检查端口 10250 TCP kubelet服务端口,提供节点上工作负载的监控信息和容器的访问通道 10255 TCP kubelet只读端口,提供节点上工作负载的监控信息 动态端口(与宿主机限制的范围有关,比如 内核参数 net.ipv4.ip_local_port_range) TCP kubelet 随机监听一个端口,与CRI Shim通信获取Exec URL 10249 TCP kube-proxy metric端口,提供kube-proxy组件的监控信息 10256 TCP kube-proxy健康检查端口 动态端口(32768~65535) TCP docker exec等功能的websocket监听端口 动态端口(32768~65535) TCP containerd exec等功能的websocket监听端口 28001 TCP icagent本地侦听端口,接受节点syslog日志 28002 TCP icagent健康检查端口 20101 TCP yangtse-agent/canal-agent健康检查端口(容器隧道网络模式涉及) 20104 TCP yangtse-agent/canal-agent的metric端口,提供组件的监控信息(容器隧道网络模式涉及) 3125 TCP everest-csi-driver侦听健康检查端口 3126 TCP everest-csi-driver pprof端口 19900 TCP node-problem-detector 健康检查server端口 19901 TCP node-problem-detector对接普罗采集监控数据端口 4789 UDP ovs侦听端口,容器网络vxlan报文的传输通道(容器隧道网络模式涉及) 4789 UDPv6 ovs侦听端口,容器网络vxlan报文的传输通道(容器隧道网络模式涉及) 动态端口30000~32767 TCP kube-proxy侦听端口,做4层负载均衡。K8s会给NodePort和Loadbalancer类型的服务分配一个随机端口,默认范围在30000~32767 动态端口30000~32767 UDP kube-proxy侦听端口,做4层负载均衡。K8s会给NodePort和Loadbalancer类型的服务分配一个随机端口,默认范围在30000~32767 123 UDP ntpd侦听端口,负责时间同步 20202 TCP PodLB侦听端口,做7层负载均衡,负责转发容器镜像拉取请求 父主题: 节点运行
  • 安全组出方向规则加固建议 对于出方向规则,CCE创建的安全组默认全部放通,通常情况下不建议修改。如需加固出方向规则,请注意如下端口需要放通。 表8 Node节点安全组出方向规则最小范围 端口 放通地址段 说明 UDP:53 子网的DNS服务器 用于域名解析。 UDP:4789(仅容器隧道网络模型的集群需要) 所有IP地址 容器间网络互访。 TCP:5443 Master节点网段 Master的kube-apiserver的监听端口。 TCP:5444 VPC网段、容器网段 kube-apiserver服务端口,提供K8s资源的生命周期管理。 TCP:6443 Master节点网段 - TCP:8445 VPC网段 Node节点存储插件访问Master节点。 TCP:9443 VPC网段 Node节点网络插件访问Master节点。 所有端口 198.19.128.0/17网段 访问VPCEP服务。 UDP:123 100.125.0.0/16网段 Node节点访问内网NTP服务器端口。 TCP:443 100.125.0.0/16网段 Node节点访问内网OBS端口用于拉取安装包。 TCP:6443 100.125.0.0/16网段 Node节点上报节点安装成功。
  • 云原生网络2.0( CCE Turbo 集群)安全组规则 Node节点安全组 集群自动创建的Node节点安全组名称为{集群名}-cce-node-{随机ID},默认端口说明请参见表5。 表5 CCE Turbo集群Node节点安全组默认端口说明 方向 端口 默认源地址 说明 是否可修改 修改建议 入方向规则 TCP:10250 Master节点网段 Master节点主动访问Node节点的kubelet(如执行kubectl exec {pod})。 不可修改 不涉及 TCP:30000-32767 所有IP地址(0.0.0.0/0) 集群NodePort服务默认访问端口范围。 可修改 端口需对VPC网段、容器网段和ELB的网段放通。 UDP:30000-32767 TCP:22 所有IP地址(0.0.0.0/0) 允许SSH远程连接Linux弹性云服务器。 建议修改 不涉及 全部 Node节点安全组 限制Node节点安全组外的访问,但对于Node节点安全组中的实例互相访问不做限制。 不可修改 不涉及 全部 容器子网网段 允许集群中的容器访问节点。 不可修改 不涉及 出方向规则 全部 所有IP地址(0.0.0.0/0) 默认全部放通,通常情况下不建议修改。 可修改 如需加固出方向规则,请注意指定端口需要放通,详情请参见安全组出方向规则加固建议。 Master节点安全组 集群自动创建的Master节点安全组名称为{集群名}-cce-control-{随机ID},默认端口说明请参见表6。 表6 CCE Turbo集群Master节点安全组默认端口说明 方向 端口 默认源地址 说明 是否支持修改 修改建议 入方向规则 TCP:5444 所有IP地址(0.0.0.0/0) kube-apiserver服务端口,提供K8s资源的生命周期管理。 不可修改 不涉及 TCP:5444 VPC网段 不可修改 不涉及 TCP:9443 VPC网段 Node节点网络插件访问Master节点。 不可修改 不涉及 TCP:5443 所有IP地址(0.0.0.0/0) Master的kube-apiserver的监听端口。 建议修改 端口需保留对VPC网段、容器网段和托管网格控制面网段放通。 说明: 如果您需要使用CloudShell功能,请保留5443端口对198.19.0.0/16网段放通,否则将无法访问集群。 TCP:8445 VPC网段 Node节点存储插件访问Master节点。 不可修改 不涉及 全部 Master节点安全组 限制Master节点安全组外的访问,但对于Master节点安全组中的实例互相访问不做限制。 不可修改 不涉及 全部 容器子网网段 属于容器子网网段的源地址需全部放通。 不可修改 不涉及 出方向规则 全部 所有IP地址(0.0.0.0/0) 默认全部放通。 不可修改 不涉及 ENI安全组 CCE Turbo集群会额外创建名为{集群名}-cce-eni-{随机ID}的安全组,默认为集群中的容器绑定该安全组,默认端口说明请参见表7。 表7 ENI安全组默认端口说明 方向 端口 默认源地址 说明 是否可修改 修改建议 入方向规则 全部 ENI安全组 允许集群中的容器互相访问。 不可修改 不涉及 VPC网段 允许集群VPC中的实例访问容器。 不可修改 不涉及 出方向规则 全部 所有IP地址(0.0.0.0/0) 默认全部放通。 不可修改 不涉及
  • 容器隧道网络模型安全组规则 Node节点安全组 集群自动创建的Node节点安全组名称为{集群名}-cce-node-{随机ID},默认端口说明请参见表3。 表3 容器隧道网络模型Node节点安全组默认端口说明 方向 端口 默认源地址 说明 是否可修改 修改建议 入方向规则 UDP:4789 所有IP地址(0.0.0.0/0) 容器间网络互访。 不可修改 不涉及 TCP:10250 Master节点网段 Master节点主动访问Node节点的kubelet(如执行kubectl exec {pod})。 不可修改 不涉及 TCP:30000-32767 所有IP地址(0.0.0.0/0) 集群NodePort服务默认访问端口范围。 可修改 端口需对VPC网段、容器网段和ELB的网段放通。 UDP:30000-32767 TCP:22 所有IP地址(0.0.0.0/0) 允许SSH远程连接Linux弹性云服务器。 建议修改 不涉及 全部 Node节点安全组 限制Node节点安全组外的访问,但对于Node节点安全组中的实例互相访问不做限制。 不可修改 不涉及 出方向规则 全部 所有IP地址(0.0.0.0/0) 默认全部放通,通常情况下不建议修改。 可修改 如需加固出方向规则,请注意指定端口需要放通,详情请参见安全组出方向规则加固建议。 Master节点安全组 集群自动创建的Master节点安全组名称为{集群名}-cce-control-{随机ID},默认端口说明请参见表4。 表4 容器隧道网络模型Master节点安全组默认端口说明 方向 端口 默认源地址 说明 是否支持修改 修改建议 入方向规则 UDP:4789 所有IP地址(0.0.0.0/0) 容器间网络互访。 不可修改 不涉及 TCP:5444 VPC网段 kube-apiserver服务端口,提供K8s资源的生命周期管理。 不可修改 不涉及 TCP:5444 容器网段 TCP:9443 VPC网段 Node节点网络插件访问Master节点。 不可修改 不涉及 TCP:5443 所有IP地址(0.0.0.0/0) Master的kube-apiserver的监听端口。 建议修改 端口需保留对VPC网段、容器网段和托管网格控制面网段放通。 说明: 如果您需要使用CloudShell功能,请保留5443端口对198.19.0.0/16网段放通,否则将无法访问集群。 TCP:8445 VPC网段 Node节点存储插件访问Master节点。 不可修改 不涉及 全部 Master节点安全组 限制Master节点安全组外的访问,但对于Master节点安全组中的实例互相访问不做限制。 不可修改 不涉及 出方向规则 全部 所有IP地址(0.0.0.0/0) 默认全部放通。 不可修改 不涉及
  • VPC网络模型安全组规则 Node节点安全组 集群自动创建的Node节点安全组名称为{集群名}-cce-node-{随机ID},默认端口说明请参见表1。 表1 VPC网络模型Node节点安全组默认端口说明 方向 端口 默认源地址 说明 是否可修改 修改建议 入方向规则 UDP:全部 VPC网段 Node节点之间互访、Node节点与Master节点互访。 不可修改 不涉及 TCP:全部 ICMP:全部 Master节点安全组 Master节点访问Node节点。 不可修改 不涉及 TCP:30000-32767 所有IP地址(0.0.0.0/0) 集群NodePort服务默认访问端口范围。 可修改 端口需对VPC网段、容器网段和ELB的网段放通。 UDP:30000-32767 全部 容器网段 允许集群中的容器访问节点。 不可修改 不涉及 全部 Node节点安全组 限制Node节点安全组外的访问,但对于Node节点安全组中的实例互相访问不做限制。 不可修改 不涉及 TCP:22 所有IP地址(0.0.0.0/0) 允许SSH远程连接Linux弹性云服务器。 建议修改 不涉及 出方向规则 全部 所有IP地址(0.0.0.0/0) 默认全部放通,通常情况下不建议修改。 可修改 如需加固出方向规则,请注意指定端口需要放通,详情请参见安全组出方向规则加固建议。 Master节点安全组 集群自动创建的Master节点安全组名称为{集群名}-cce-control-{随机ID},默认端口说明请参见表2。 表2 VPC网络模型Master节点安全组默认端口说明 方向 端口 默认源地址 说明 是否支持修改 修改建议 入方向规则 TCP:5444 VPC网段 kube-apiserver服务端口,提供K8s资源的生命周期管理。 不可修改 不涉及 TCP:5444 容器网段 TCP:9443 VPC网段 Node节点网络插件访问Master节点。 不可修改 不涉及 TCP:5443 所有IP地址(0.0.0.0/0) Master的kube-apiserver的监听端口。 建议修改 端口需保留对VPC网段、容器网段和托管网格控制面网段放通。 说明: 如果您需要使用CloudShell功能,请保留5443端口对198.19.0.0/16网段放通,否则将无法访问集群。 TCP:8445 VPC网段 Node节点存储插件访问Master节点。 不可修改 不涉及 全部 Master节点安全组 限制Master节点安全组外的访问,但对于Master节点安全组中的实例互相访问不做限制。 不可修改 不涉及 出方向规则 全部 所有IP地址(0.0.0.0/0) 默认全部放通。 不可修改 不涉及
  • IPv6服务网段使用约束 在设置集群服务网段时,需要首先考虑以下有如下使用约束: IPv6服务网段必须属于fc00::/8网段内。 该地址属于本地唯一地址(ULA)网段。ULA拥有固定前缀:fc00::/7,其中包括fc00::/8和fd00::/8两个范围,类似于IPv4的专用网络地址10.0.0.0/8、172.16.0.0/12和192.168.0.0/16,相当于私有IP网段,仅能够在本地网络使用。 前缀范围112-120,您可以通过调整前缀数值,调整地址个数,地址数最多有65536个。
  • IPv6服务网段示例 根据约束,本文中提供一个包含8192个地址的IPv6网段设置示例,供您参考。 根据地址数需求设定前缀长度,且前缀范围为112-120。 本例中,需要8192个地址数,8192个地址需要13位二进制数表示,而IPv6地址总长度为128位二进制数,则该IPv6网段的前缀长度为128-13=115,表示前115位可用于区分网络地址段,后13位用于表示8192个主机地址。 根据以上计算方式,可得出前缀范围为112-120的IPv6地址段所包含的地址数量如下: IPv6地址段的前缀长度 包含的地址数量 112 65536 113 32768 114 16384 115 8192 116 4096 117 2048 118 1024 119 512 120 256 设置IPv6网络地址,且网络地址必须属于fc00::/8网段内。 本例中,确定前缀长度为115,由于网络地址必须属于fc00::/8网段内,因此前8位二进制数是固定的。可修改的网络地址范围是第9位至第115位,第116位至第128位则属于主机地址。 将IPv6地址写成二进制形式,则根据以上条件: 网络地址必须属于fc00::/8网段,因此二进制中的前8位不可修改,否则将不属于fc00::/8网段,固定为1111 1110,对应十六进制为fc。 包含8192个地址数的网段前缀长度设置为115,因此二进制中后13位用于表示主机地址,固定全为0。 具体示例如下,其二进制中标红部分是不可修改的。 二进制: 1111 1100 **** **** ... ***0 0000 0000 0000/115 | | | | | | | | 十六进制: f c x x ... y 0 0 0/115 其中x为任意十六进制数;而y对应的4位二进制数最后一位固定为0,因此十六进制数y可选范围为0、2、4、6、8、a、c、e。
  • IPv6介绍 IPv6地址 IPv6地址采用128位二进制表示,是IPv4地址长度的4倍。因此IPv4地址的十进制格式不再适用,IPv6采用了十六进制来表示,将128位二进制数转换为32位十六进制数,每4位十六进制数(不区分大小写)为一组,每组以冒号“:”隔开,可以分为8组。 IPv6地址存在多种省略写法: 0位省略:如果每个冒号分组中存在以0开头的,则可以将0位省略,多个0连续时可省略多个。例如以下IPv6地址均是等价的。 ff01:0d28:03ee:0000:0000:0000:0000:0c23 ff01:d28:3ee:0000:0000:0000:0000:c23 ff01:d28:3ee:0:0:0:0:c23 双冒号省略:如果以十六进制表示的IPv6地址中间依然存在很多个全为0的分组,可以把连续全为0的分组压缩成双冒号"::"。但为保证唯一性,这种压缩方式只能使用一次,即一个IPv6地址中只能出现一次双冒号"::"。 例如: 双冒号省略前 双冒号省略后 ff01:d28:3ee:0:0:0:0:c23 ff01:d28:3ee::c23 0:0:0:0:0:0:0:1 ::1 0:0:0:0:0:0:0:0 :: IPv6地址段 IPv6地址段通常采用CIDR(无类别域间路由选择)表示法,通常用斜杠(/)后跟一个数字表示,即格式为“IPv6地址/前缀长度”。此处前缀长度与IPv4地址段的掩码作用类似,用数字来表示网络部分所占用的二进制位数,可将IPv6地址分为网络地址和主机地址两部分。而前缀长度指定了网络部分占用的位数,剩余位数则是主机地址部分,可以更加方便和灵活地表示不同的地址段。 例如,fc00:d28::/32表示一个前缀长度为32位的IPv6地址段,则在该网段中分配地址时,前32位(以二进制计算,此处即为fc00:d28)为网络地址,后96位则为可用的主机地址。
  • 排查项八: DNS地址 配置错误 登录节点,在日志/var/log/cloud-init-output.log中查看是否有域名解析失败相关的报错。 cat /var/log/cloud-init-output.log | grep resolv 如果回显包含如下内容则说明无法解析该域名。 Could not resolve host: test.obs.cn-north-4.myhuaweicloud.com; Unknown error 在节点上ping上一步无法解析的域名,确认节点上能否解析此域名。 ping test.obs.cn-north-4.myhuaweicloud.com 如果不能,则说明DNS无法解析该地址。请确认/etc/resolv.conf文件中的DNS地址与配置在VPC的子网上的DNS地址是否一致,通常是由于此DNS地址配置错误,导致无法解析此域名。请修改VPC子网DNS为正确配置,然后重置节点。 如果能,则说明DNS地址配置没有问题,请排查其他问题。
  • 排查项十:排查Docker服务是否正常 执行以下命令确认docker服务是否正在运行: systemctl status docker 若执行失败或服务状态非active,请确认docker运行失败原因,必要时可提交工单联系技术支持。 执行以下命令检查当前节点上所有容器数量: docker ps -a | wc -l 若命令卡死、执行时间过长或异常容器数过多(1000以上),请确认外部是否存在重复不断地创删负载现象,在大量容器频繁创删过程中有可能出现大量异常容器且难以及时清理。 在此场景下可考虑停止重复创删负载或采用更多的节点去分摊负载,一般等待一段时间后节点会恢复正常,必要情况可执行docker rm {container_id}手动清理异常容器。
共100000条