-
CCE节点安全配置建议 - 云容器引擎 CCE
节点应按需进行加固 CCE服务的集群节点操作系统配置与开源操作系统默认配置保持一致,用户在节点创建完成后应根据自身安全诉求进行安全加固。 CCE提供以下建议的加固方法: 通过“创建节点”的“安装后执行脚本”功能,在节点创建完成后,执行命令加固节点。具体操作步骤参考创建节点的“云服务器高级设置”的
-
集群与虚拟私有云、子网的关系是怎样的? - 云容器引擎 CCE
集群与虚拟私有云、子网的关系是怎样的? “虚拟私有云”类似家庭生活中路由器管理192.168.0.0/16的私有局域网,是为用户在云上构建的一个私有网络,是弹性云服务器、负载均衡、中间件等工作的基本网络环境。根据实际业务需要可以设置不同规模的网络,一般可为10.0.0.0/8~24,172
-
端口范围配置 - 云容器引擎 CCE
端口范围配置 Nodeport类型服务端口范围 service的NodePort模式下能够使用的主机端口号范围,默认是30000-32767 参数名 取值范围 默认值 是否允许修改 作用范围 service-node-port-range 20106-32767 30000-32767
-
为负载均衡类型的Service配置HTTP/2 - 云容器引擎 CCE
在左侧导航栏中选择“服务”,在右上角单击“创建服务”。 设置Service参数。本示例中仅列举必选参数,其余参数可根据需求参考创建LoadBalancer类型Service进行设置。 Service名称:自定义服务名称,可与工作负载名称保持一致。 访问类型:选择“负载均衡”。 选择器:添加标
-
Jenkins Agent配置 - 云容器引擎 CCE
JENKINS_SECRET:4中复制的secret。 JENKINS_AGENT_WORKDIR:3中配置的远程工作目录,即/home/jenkins/agent。 给Jenkins容器添加权限,让Jenkins容器中可以执行docker命令。 确认3中已开启“特权容器”开关。 在“数据存储”中的“本地存储”页签下
-
Pod安全配置 - 云容器引擎 CCE
Pod安全配置 PodSecurityPolicy配置 Pod Security Admission配置 父主题: 工作负载
-
Kubernetes原生配置 - 云容器引擎 CCE
控制器性能配置:用于设置控制器访问kube-api-server的性能参数配置。 请合理设置控制器性能配置,否则可能出现以下问题: 配置过小:可能会触发客户端限流,对控制器性能产生影响。 配置过大:可能会导致kube-apiserver过载。 表4 控制器性能配置参数说明 名称 参数 说明 取值 控制器访问kube-apiserver的QPS
-
修改CCE集群配置 - 云容器引擎 CCE
ubernetes 用于服务账户令牌的身份验证组件,会验证API请求中使用的令牌是否指定了合法的受众。 配置建议:根据集群服务间通信的需求,精确配置受众列表。此举确保服务账户令牌仅在授权的服务间进行认证使用,提升安全性。 说明: 不正确的配置可能导致服务间认证通信失败,或令牌的验证过程出现错误。
-
负载均衡器配置:共享型elb自动创建配置 - 云容器引擎 CCE
私网;设置pulic,负载均衡器支持ipv4私网和ipv4公网。设置public会创建对应的弹性公网ip,并收取一定费用。 配置建议: 需要对外网提供服务时,需要有公网访问地址,需要选择public类型。无对外访问需求,仅在局域网内访问时,设置inner类型即可。 负载均衡器所在的子网IPv4网络ID
-
Headless Service - 云容器引擎 CCE
Name: nginx-2.nginx.default.svc.cluster.local Address: 172.16.0.19 父主题: 服务(Service)
-
插件高可用部署 - 云容器引擎 CCE
增加实例数量:采用多实例部署方式可以有效避免单点故障造成的整个服务的不可用。 节点级别的高可用方案: 独占节点部署:建议将核心插件独占Node节点部署,进行节点级别的资源限制和隔离,以避免业务应用与核心插件资源抢占。 多可用区部署:采用多可用区部署可以有效避免单可用区故障造成的整个服务的不可用。
-
服务端口配置 - 云容器引擎 CCE
是否允许修改 作用范围 protocol TCP/UDP 无 允许 CCE Standard/CCE Turbo 配置建议: 建议配置业务容器中实际支持的协议配置 父主题: 服务
-
通过CCE配置自定义告警 - 云容器引擎 CCE
常见事件来源为Kubernetes事件和云服务事件。 规则详情: 参数 说明 场景示例 规则名称 自定义告警规则的名称 ReplicaSet副本数变化 描述(可选) 添加告警规则描述。 ReplicaSet副本数在5分钟内变化次数超过3次 事件名称 输入事件的名称,该名称需要与实
-
metadata - 云容器引擎 CCE
空间下 配置项标签 配置项附带的标签 参数名 取值范围 默认值 是否允许修改 作用范围 labels 无 无 允许 - 标签是资源对象的一种附加标识,可以通过标签进行过滤查询 配置建议: 用户按需将一些查询和管理维度(如配置项所属业务领域、微服务等)抽象为标签,方便对配置项进行过滤查询
-
自定义资源配置 - 云容器引擎 CCE
例如,/apis/monitoring.coreos.com/v1/servicemonitors。 配置建议: 创建新的 自定义资源时,Kubernetes API 服务器会为你所指定的每个版本生成一个新的 RESTful 资源路径。 自定义资源名称的单数形式 自定义资源名称的单数形式
-
节点网络配置 - 云容器引擎 CCE
节点网络配置 节点关联自定义安全组 节点池自定义安全组配置。 参数名 取值范围 默认值 是否允许修改 作用范围 customSecurityGroups UUID列表,最大支持配置5个。 禁止重复 NULL 允许 CCE Turbo 配置自定义安全组后,原集群默认节点安全组将不会被配置至新创建节点。
-
基础配置 - 云容器引擎 CCE
基础配置 节点池名称 节点池创建出的节点名称会基于节点池名称增加5位数随机尾缀,如输入nodepool,创建的节点名称为nodepool-47bl2 参数名 取值范围 默认值 是否允许修改 作用范围 .metadata.name 命名规则: (1)以小写字母开头,由小写字母、数字
-
登录节点 - 云容器引擎 CCE
SSH方式登录时要求该节点(弹性云服务器 ECS)已绑定弹性公网IP。 只有运行中的弹性云服务器才允许用户登录。 Linux操作系统用户名为root。 登录方式概述 登录节点(弹性云服务器 ECS)的方式有如下两种: 管理控制台远程登录(VNC方式) 未绑定弹性公网IP的弹性云服务器可通过管理控制台提供的远程登录方式直接登录。
-
kube-proxy配置 - 云容器引擎 CCE
大于等于0 1h0m0s 允许 CCE Standard/CCE Turbo 处于 CLOSE_WAIT 状态的空闲 conntrack 条目在 conntrack 表中保留的时间 配置建议: 不建议配置 系统中最大的连接跟踪表项数目 系统中最大的连接跟踪表项数目 参数名 取值范围
-
服务 - 云容器引擎 CCE
服务 服务基础配置 服务端口配置 负载均衡器基础属性 负载均衡器自动创建配置 负载均衡器配置:共享型elb自动创建配置 负载均衡器配置:独享型elb自动创建配置 负载均衡器配置:监听器配置 负载均衡器配置:后端云服务器组 健康检查配置