检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
典型的例子: 跨节点访问Pod 在Kubernetes集群中,当一个节点需要访问位于其他节点上的Pod时,通常情况下,Pod的响应数据包会被自动执行SNAT,此时源地址会从Pod的IP地址变更为节点的IP地址。这种自动的IP地址转换可能会导致通信异常,从而使得跨节点的访问变得不可行。
容器内的文件权限和用户都是问号 问题现象 节点操作系统为CentOS 7.6或EulerOS 2.5时,如果使用“Debian GNU/Linux 11 (bullseye)”内核为基础镜像的容器,会出现容器内的文件权限和用户异常。 问题影响 容器内文件权限及用户异常。 解决方案
somaxconn来增大监听队列的长度。 操作步骤 修改kubelet配置。 方式一:修改节点池kubelet配置(默认节点池不支持) 登录CCE控制台,进入集群。 单击节点池后“更多 > 配置管理”。 图1 节点池配置管理 修改kubelet配置参数,在“允许使用的不安全系统配置”中增加配置“[net
单击待删除工作负载后的“更多 > 删除”,删除工作负载。 请仔细阅读系统提示,删除操作无法恢复,请谨慎操作。 单击“是”。 若Pod所在节点不可用或者关机,负载无法删除时可以在详情页面实例列表选择强制删除。 请确保要删除的存储没有被其他负载使用,导入和存在快照的存储只做解关联操作。
AI套件(NVIDIA GPU) 插件介绍 CCE AI套件(NVIDIA GPU)插件是支持在容器中使用GPU显卡的设备管理插件,集群中使用GPU节点时必须安装本插件。 字段说明 表1 参数描述 参数 是否必选 参数类型 描述 basic 是 object 插件基础配置参数。 custom
当前在CCE中购买集群时支持“按需计费”和“包年/包月”(按周期)两种计费方式。按需计费的购买的集群可以转成包年/包月计费的集群。 如果您需要将按需计费的节点转为包年/包月计费,请参见按需节点转包年/包月。 按需集群转包年/包月 如果您在购买按需计费的集群后,想更换为包年/包月计费,可按如下步骤进行操作: 登录C
更新Service和Pod对象权限的潜在攻击者,能够劫持集群内来自其他Pod或者节点的流量。潜在攻击者通过设置Service对象的spec.externalIPs字段,能够劫持集群内其他Pod或者节点访问该externalIP(如某公网知名IP)的流量,并将其转发到攻击者创建的恶
使用dcgm-exporter监控GPU指标 应用场景 集群中包含GPU节点时,需要了解GPU应用使用节点GPU资源的情况,例如GPU利用率、显存使用量、GPU运行的温度、GPU的功率等。在获取GPU监控指标后,用户可根据应用的GPU指标配置弹性伸缩策略,或者根据GPU指标设置告
CVE-2020-13401漏洞源于IPv6动态分配除提供了IPv6的DHCP技术外,还支持Router Advertisement技术。路由器会定期向节点通告网络状态,包括路由记录。客户端会通过NDP进行自身网络配置。本文介绍该漏洞的影响。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间
由于kube-apiserver中在升级请求的代理后端中允许将请求传播回源客户端,攻击者可以通过截取某些发送至节点kubelet的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成被攻击节点的权限提升漏洞。该漏洞为中危漏洞,CVSS评分为6.4。 如果有多个集群共享使用了相同的CA
--data @token_body.json 其中: {{iam endpoint}}为IAM服务的Endpoint,具体请参见地区和终端节点。 workload_identity即为身份提供商名称,与步骤二:配置身份提供商中配置的名称相同。 token_body.json为本地文件,内容如下所示:
单击“立即创建”。 (可选)创建密钥对 云平台使用公共密钥密码术来保护您的云容器引擎节点的登录信息,密码或密钥对用于远程登录节点时的身份认证。 如果选择密钥登录方式,您需要在创建云容器引擎的集群节点时指定密钥对的名称,然后在SSH登录时提供私钥。创建方法请参见创建密钥对。 如果选择密码登录方式,可以跳过该任务。
kubernetes.io/docs/concepts/services-networking/ingress/。 nginx:负责请求负载均衡,支持7层转发能力。 安装方法 目前CCE在插件市场中已提供nginx-ingress插件的一键式安装,也可以在安装界面展开参数进行设置。
下载镜像缺少层如何解决? 故障现象 在使用containerd容器引擎场景下,拉取镜像到节点时,概率性缺少镜像层,导致工作负载容器创建失败。 问题根因 docker v1.10 之前支持mediaType 为 application/octet-stream 的layer,而co
如何查看Pod是否使用CPU绑核? 以4U8G节点为例,并提前在集群中部署一个CPU request为1,limit为2的工作负载。 登录到节点池中的一个节点,查看/var/lib/kubelet/cpu_manager_state输出内容。 cat /var/lib/kubel
节点池中节点优先使用当前节点池自定义驱动,未指定驱动的节点将使用集群默认驱动。 系统将根据节点池指定的驱动版本进行安装,仅对节点池新建节点生效。 更新驱动版本后,新建节点直接生效,存量节点需重启节点生效。 安装2.7.2及以上版本的GPU插件时,支持以节点池级别配置XGPU虚拟化开关。
23,推荐使用>=2.1.23版本。 移除节点、删除节点、重置节点和缩容节点会导致与节点关联的本地持久存储卷类型的PVC/PV数据丢失,无法恢复,且PVC/PV无法再正常使用。移除节点、删除节点、重置节点和缩容节点时使用了本地持久存储卷的Pod会从待删除、重置的节点上驱逐,并重新创建Pod,P
114.114.114,该域名无法解析租户区域名。 根因分析 CCE会将用户的子网DNS信息配置到node节点上,coredns插件中也是使用该配置信息,因此会导致用户在节点容器内解析域名会偶发失败的状况。 解决方案 建议您通过修改coredns插件的存根域更新用户集群子网DNS
容器隧道网络在节点网络基础上通过隧道封装网络数据包,容器访问同VPC下其他资源时,只要节点能访问通,容器就能访问通。如果访问不通,需要确认对端资源的安全组配置是否能够允许容器所在节点访问。 云原生网络2.0 云原生网络2.0模型下,容器直接从VPC网段内分配IP地址,容器网段是节点所在V
开启集群过载控制 操作场景 过载控制开启后,将根据控制节点的资源压力,动态调整系统外LIST请求的并发限制,维护控制节点和集群的可靠性。 约束与限制 集群版本需为v1.23及以上。 开启集群过载控制 方式一:创建集群时开启 创建v1.23及以上集群时,可在创建集群过程中,开启过载控制选项。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
