检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
群。 您已经创建好一个状态可用的SFS Turbo,并且SFS Turbo与集群在同一个VPC内。 约束与限制 支持多个PV挂载同一个SFS或SFS Turbo,但有如下限制: 多个不同的PVC/PV使用同一个底层SFS或SFS Turbo卷时,如果挂载至同一Pod使用,会因为P
如何变更CCE集群中的节点规格? 约束与限制 节点池中的节点在ECS侧变更规格后,可能导致节点池弹性伸缩问题,详情请参见CCE节点池内的节点变更规格后会有哪些影响?。 CCE Turbo集群中的部分规格节点仅支持在CCE中创建,无法在ECS控制台变更规格,此种情况下调用ECS A
操作场景 CCE支持使用已有的文件存储(PersistentVolumeClaim),创建有状态工作负载(StatefulSet)。 约束与限制 如下配置示例适用于Kubernetes 1.13及以下版本的集群。 操作步骤 参照使用kubectl自动创建文件存储中操作创建文件存储卷,记录文件存储卷名称。
动态使用OBS可以自动创建并挂载所期望的OBS对象存储,目前支持标准、低频两种类型的桶,分别对应obs-standard、obs-standard-ia。 约束与限制 如下配置示例适用于Kubernetes 1.13及以下版本的集群。 操作步骤 请参见通过kubectl连接集群,使用kubectl连接集群。
集策略,可以根据您配置的策略规则,对集群中的容器标准输出日志、容器文件日志、节点日志及Kubernetes事件日志进行采集与转发。 约束与限制 每个集群最多支持创建50条日志规则。 云原生日志采集插件不会采集.gz、.tar、.zip后缀类型的日志文件,且不支持采集日志文件的软链接。
docker logs crictl logs 无 查看容器的资源使用情况 docker stats crictl stats 无 更新容器资源限制 docker update crictl update 无 表7 Pod相关功能 操作 Docker命令 Containerd命令 docker
利用Pod延时启动的能力进行规避。 您也可以使用企业路由器连接对端VPC来解决该问题,详情请参见集群通过企业路由器连接对端VPC。 约束与限制 仅以下指定版本的CCE Turbo集群支持配置Pod延时启动参数:: v1.19集群:v1.19.16-r40及以上版本 v1.21集群:v1
在插件管理中安装或编辑NGINX Ingress控制器插件,优化以下配置: 调整nginx-ingress-controller容器的资源限制。如应用处理的HTTP请求的PRS为30万,可将CPU/内存的requests和limits均设置为16 Core/20 GiB。 设置实例数大于等于2。
同权限控制方式的区别)。 前提条件 CCE容器存储(Everest)要求1.2.8及以上版本。 集群要求1.15.11及以上版本。 约束与限制 对象存储卷使用自定义访问密钥(AK/SK)时,对应的AK/SK不允许删除或禁用,否则业务容器将无法访问已挂载的对象存储。 自定义访问密钥暂不支持安全容器。
CCE中使用x86和ARM双架构镜像 使用SWR触发器自动更新工作负载版本 插件高可用部署 应用容器化改造 工作负载参数配置实践 容器网络带宽限制的配置建议 使用hostAliases参数配置Pod的/etc/hosts文件 容器与节点时区同步 在CCE Turbo集群中配置Pod延时启动参数
umeGroup),然后划分LV作为EmptyDir的存储介质给容器挂载使用,相比原生EmptyDir默认的存储介质类型性能更好。 约束与限制 本地临时卷仅在集群版本 >= v1.21.2-r0 时支持,且需要everest插件版本>=1.2.29。 请勿在节点上手动删除对应的存
C及子网,并将多个子网分别共享给其他账号: 账号A为企业业务账号,使用子网1创建资源。 账号B为企业业务账号,使用子网2创建资源。 约束与限制 当前仅CCE Turbo集群支持共享VPC特性。 使用共享VPC创建的集群不支持使用共享ELB及NAT网关功能。 使用共享VPC创建的集
Namespace:资源分组 为什么需要Namespace Label虽然好,但只用Label的话,那Label会非常多,有时候会有重叠,而且每次查询之类的动作都带一堆Label非常不方便。Kubernetes提供了Namespace来做资源组织和划分,使用多Namespace可
漏洞修复方案 对于集群内跨节点的攻击,建议您采取以下安全防范措施: 请妥善保管认证凭据。 授权子账号遵循权限最小化原则,通过设置RBAC权限,限制不必要的pods/exec、pods/attach、pods/portforward和proxy类型的资源访问。 父主题: 漏洞公告
capabilities: drop: ["DAC_OVERRIDE"] 通过使用集群Pod安全策略或其他admission准入机制限制以root用户启动容器,或设置参数allowPrivilegeEscalation为false: securityContext:
29集群:v1.29.3-r0及以上版本 其他更高版本的集群 您需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。 约束与限制 在CCE Standard集群中,当Service服务亲和类型配置成节点级别(即externalTrafficPolicy配置为Loca
余的时间开销,难以胜任生产场景中大量镜像的迁移。 依赖docker程序,docker daemon对pull/push的并发数进行了严格的限制,没法进行高并发同步。 一些功能只能经过HTTP api进行操作,单纯使用docker cli 没法做到,使脚本变得复杂。 使用image-migrator将镜像迁移至SWR
时,需要先修改为ReadWriteOnce。 Velero对存储卷进行备份还原时不支持HostPath类型的存储卷,详情请参见文件系统备份限制。若您需备份该类型的存储卷,请参考无法备份HostPath类型存储卷将HostPath类型替换为Local类型。当备份任务中存在HostP
降低权限:以非root用户运行容器可以降低潜在安全风险,因为即使容器被攻击,攻击者也无法获得宿主机的完全控制权。 限制访问:非root用户通常具有有限的权限,这限制了它们对宿主机资源的访问和操作能力。 除了Dockerfile,您还可以在Kubernetes的podSpec中使用
CCE支持使用LVM将节点上的数据卷组成存储池(VolumeGroup),然后划分LV给容器挂载使用。在创建本地临时卷前,需将节点数据盘导入存储池。 约束与限制 本地临时卷仅在集群版本 >= v1.21.2-r0 时支持,且需要everest插件版本>=1.2.29。 节点上的第一块数据盘(供容器
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
