正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
每个集群会自动创建7个的安全组规则,用于放通指定端口,以保证集群中的正常网络通信。 一个Region下每个账号可创建的安全组规则限制为1000个。 VPC终端节点 终端节点 3/集群 每个集群至少需要预留3个终端节点配额,使集群可正常访问SWR、OBS等周边服务。 一个Region下每个账号可创建的终端节点限制为50个。
系统提供额外维护与支持。 方案架构 Jenkins部署分为以下两种模式: 一种是直接使用单Master安装Jenkins,直接进行任务管理和业务构建发布,但可能存在一定的生产安全风险。 一种是Master加Agent模式。Master节点主要是处理调度构建作业,把构建分发到Age
见安装Grafana。 采集GPU监控指标 本文在集群部署dcgm-exporter组件进行GPU指标的采集,同时以9400端口对外暴露GPU指标。 登录一台使用docker容器引擎集群节点,且该节点需绑定EIP用于拉取公网镜像。 将dcgm-exporter镜像拉取到本地。该镜
k8s及runtime所属存储空间。有且仅有一个group被设置为true,不填默认false。 selectorNames 是 Array of strings 对应storageSelectors中的name,一个group可选择多个selector;但一个selector只能被一个group选择。 virtualSpaces
35 K8s废弃API检查异常处理 系统会扫描过去一天的审计日志,检查用户是否调用目标K8s版本已废弃的API。 说明: 由于审计日志的时间范围有限,该检查项仅作为辅助手段,集群中可能已使用即将废弃的API,但未在过去一天的审计日志中体现,请您充分排查。 36 节点NetworkManager检查异常处理
的AZ信息再创建PV,在Pod所在节点同一个AZ创建云硬盘,这样确保云硬盘能够挂载,从而确保Pod调度成功。 节点多AZ情况下使用csi-disk导致Pod调度失败 创建一个3节点的集群,3个节点在不同AZ下。 使用csi-disk创建一个有状态应用,观察该应用的创建情况。 apiVersion:
Security Policy) 是集群级别的资源,它能够控制Pod规约中与安全性相关的各个方面。 PodSecurityPolicy对象定义了一组Pod运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被系统接受。 v1.17.17版本的集群默认启用Pod安全策略准入
的基础设施(如创建节点)。 使用集群接口时,无需配置集群管理(IAM)权限,仅需在调用集群接口时带上集群证书。但是,集群证书需要有集群管理(IAM)权限的用户进行下载,在证书传递过程中可能存在泄露风险,应在实际使用中注意。 父主题: 权限
type 密钥类型 密钥的子类型 参数名 取值范围 默认值 是否允许修改 作用范围 type Opaque:一般密钥类型。 kubernetes.io/dockerconfigjson:存放拉取私有仓库镜像所需的认证信息。 kubernetes.io/tls:Kubernetes
设置可用区亲和性 操作场景 可用区是指在同一个地理区域内,由于硬件、网络等因素的限制,将数据中心划分为多个独立的区域。在同一可用区内的节点之间可以通过高速网络进行快速通信,而不同可用区之间的通信则需要跨越物理距离,可能会有一定的延迟和风险。 将Pod调度到不同的可用区域中,可以提高应用程序的可用性和容错性。
转发到新版本Service A'中。待运行一段时间稳定后,再逐步全量上线新版本,平滑下线旧版本。示意图如下: 场景二:切分一定比例的流量到新版本 假设线上已运行了一套对外提供七层服务的Service B,此时修复了一些问题,需要发布上线一个新的版本Service B',但又不想直接替换原有的Service
化情况,得到业务流量特征,为业务决策提供数据支持。 费用说明 LTS创建日志组免费,并每月赠送每个账号一定量免费日志采集额度,超过免费额度部分将产生费用(价格计算器)。 步骤一:开启插件日志采集 集群中需要安装NGINX Ingress控制器插件,并在插件中开启“日志采集”功能。
namespace: default labels: app: test-app spec: ports: - port: 8080 name: http protocol: TCP targetPort: 8080
s事件上报到云日志服务(LTS)和应用运维管理(AOM),用于保存事件信息和事件告警。 费用说明 LTS创建日志组免费,并每月赠送每个账号一定量免费日志采集额度,超过免费额度部分将产生费用(价格计算器)。 Kubernetes事件上报云日志服务(LTS) 根据不同的场景,开通Kubernetes事件采集的步骤如下:
清理器特性达到Beta版本。其作为kube-controller-manager的一部分运行,每24小时检查一次,查看是否有任何自动生成的传统ServiceAccount令牌在特定时间段内(默认为一年,通过--legacy-service-account-token-clean-
n as Code萃取丰富上云成功实践,提供一系列基于华为云可快速部署的解决方案,帮助用户降低上云门槛。同时开放完整源码,支持个性化配置,解决方案开箱即用,所见即所得。 表3 Solution as Code一键式部署类最佳实践汇总 一键式部署方案 说明 相关服务 应用容器化上云
历史API 获取集群证书 创建PV 删除PV
清理器特性达到Beta版本。其作为kube-controller-manager的一部分运行,每24小时检查一次,查看是否有任何自动生成的传统ServiceAccount令牌在特定时间段内(默认为一年,通过--legacy-service-account-token-clean-
安全 责任共担 数据保护技术 审计与日志 监控安全风险 认证证书
修改节点内核参数 由于默认的Linux内核参数不一定符合所有用户场景,用户可通过修改节点上的/etc/sysctl.conf配置文件来更改内核参数。 修改节点系统参数的命令仅在使用公共镜像时有效,使用私有镜像时本文中提供的命令仅供参考。 节点重启后需执行sysctl -p用于刷新参数值。