检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
hostPath 功能的情况下进行类似 hostPath 的访问,从而绕过限制。 在默认的 Kubernetes 环境中,漏洞利用可用于掩盖对已授予特权的滥用。 判断方法 涉及所有集群(新建的1.19.10及以上版本集群不受该漏洞影响)。 登录节点,执行命令,查看BuildDate
Ingress控制器插件。 调优建议 优化高负载场景下的NGINX Ingress插件需要考虑以下几个方面。 使用高性能节点 在高并发场景下,Ingress对CPU资源和网络连接数占用都非常高,所以可选增强型ECS实例。 登录CCE控制台。 单击集群名称进入集群,在左侧选择“节点管理”,在右侧选择“节点池”页签。
节点干扰ContainerdSock检查异常处理 检查项内容 检查节点上是否存在干扰的Containerd.Sock文件。该文件影响Euler操作系统下的容器运行时启动。 解决方案 问题场景:节点使用的docker为定制的Euler-docker而非社区的docker 登录相关节点。
含一组由不同名称定义的属性。 spec PersistentVolumeClaimSpec object spec是集合类的元素类型,用户对需要管理的集群对象进行详细描述的主体部分都在spec中给出。系统通过spec的描述来创建或更新对象。 status PersistentVolumeClaimStatus
冷却时间:指当前节点池扩容出的节点多长时间不能被缩容。 伸缩对象 规格选择:对节点池中的节点规格单独设置是否开启弹性伸缩。 当节点池中包含多个规格时,您可以对每个规格的节点数范围和优先级进行单独配置。 查看集群级别的弹性伸缩配置,集群级别的配置对所有节点池生效。当前页面仅支持查看集群级别的弹性伸缩策略
15及以上版本的集群。 1.19.10以下版本的集群中,如果使用HPA策略对挂载了EVS卷的负载进行扩容,当新Pod被调度到另一个节点时,会导致之前Pod不能正常读写。 1.19.10及以上版本集群中,如果使用HPA策略对挂载了EVS卷的负载进行扩容,新Pod会因为无法挂载云硬盘导致无法成功启动。
s监视Kubernetes API,并为每个Services创建一组DNS记录。 如果在整个集群中启用了DNS,则所有Pods应该能够自动对Services进行名称解析。 除非绝对必要,否则不要为Pod指定hostPort。 将Pod绑定到hostPort时,它会限制Pod可以调度的位置数,因为每个<hostIP
实例(Release):实例是Helm在Kubernetes集群中安装模板包后的运行结果。一个模板包通常可以在一个集群中安装多次,每次安装都会创建一个新的实例。以MySQL模板包为例,如果您想在集群中运行两个数据库,可以安装该模板包两次,每一个数据库都会拥有自己的release 和release name。
即使删除了容器,数据卷中的数据依然保存在存储系统中。 图1 CCE挂载云硬盘存储卷 使用说明 使用便捷:您可以像使用传统服务器硬盘一样,对挂载到服务器上的块存储(硬盘)做格式化、创建文件系统等操作。 数据不共享:每台服务器使用独立的块存储(硬盘),多服务器之间数据隔离。 私有网络:数据访问必须在数据中心内部网络中。
行说明。 图1 Bookinfo应用的端到端架构 在ASM中运行Bookinfo应用,无需对应用自身做出任何改变,只需简单的在ASM环境中对服务进行配置和运行,即把Envoy Sidecar注入到每个服务之中。最终的部署结果如图2所示。 图2 Envoy Sidecar注入之后的Bookinfo应用
当指定的状态码不在0~255范围内时(例如使用exit(-1)),将自动转化至0~255范围内。 当指定的状态码为正数,转换公式如下: code % 256 当指定的状态码为负数,转换公式如下: 256 - (|code| % 256) 更多退出状态码说明请参见Exit Codes With Special Meanings。
默认节点池DefaultPool不支持如下管理操作。 配置管理 为方便对CCE集群中的Kubernetes配置参数进行管理,CCE提供了配置管理功能,通过该功能您可以对核心组件进行深度配置,更多信息请参见kubelet。 仅支持在v1.15及以上版本的集群中对节点池进行配置,v1.15以下版本不显示该功能。
企业应用容器化改造方式 应用容器化改造,一般有以下三种方式: 方式一:单体应用整体容器化,应用代码和架构不做任何改动。 方式二:将应用中升级频繁,或对弹性伸缩要求高的组件拆分出来,将这部分组件容器化。 方式三:将应用做全面的微服务架构改造,再单独容器化。 这三种方式的优缺点如表1。 表1 应用容器化改造方式
rometheus并直接使用云原生监控插件对您的集群进行监控,无需开启“兼容模式”。 卸载您自建的Prometheus,需要确保删除您自建Prometheus所有的工作负载以及以monitoring.coreos.com结尾的所有CRDs。详情请参见如何移除自建Prometheus?。
Security Admission前,需要先了解Kubernetes的Pod安全性标准(Security Standards)。Pod安全性标准(Security Standards) 为 Pod 定义了不同的安全性策略级别。这些标准能够让你以一种清晰、一致的方式定义如何限制Pod行为。而Pod
基于指标(CPU利用率、内存利用率),对无状态工作负载的副本数进行弹性扩缩容。 基于周期(每天、每周、每月或每年的具体时间点),对无状态工作负载的副本数进行弹性扩缩容。 基于指标(CPU利用率、内存利用率)或周期(每天、每周、每月或每年的具体时间点),对无状态工作负载的副本数进行弹性扩缩容。
务账号和内部服务账号,采取不同的认证机制,具体请参见认证与ServiceAccount。 Authorization:用于控制用户对资源访问的授权,对访问的授权目前主要使用RBAC机制,将在RBAC介绍。 图1 API Server的认证授权 认证与ServiceAccount
PU利用率对其副本进行扩缩的功能。autoscale命令会给工作负载(Deployment、ReplicaSet、StatefulSet或ReplicationController)指定一个副本数的范围,在实际运行中根据所有Pod的平均CPU利用率自动在指定的范围内对Pod进行扩
迁移工具安装 Velero是开源的 Kubernetes 集群备份、迁移工具,集成了Restic工具对PV数据的备份能力,可以通过Velero工具将原集群中的K8s资源对象(如Deployment、Job、Service、ConfigMap等)和Pod挂载的持久卷数据保存备份上传
登录节点时需要使用该密码,请妥善管理密码,系统无法获取您设置的密码内容。 密钥对 选择用于登录本节点的密钥对,支持选择共享密钥。 密钥对用于远程登录节点时的身份认证。若没有密钥对,可单击选项框右侧的“创建密钥对”来新建,创建密钥对操作步骤请参见创建密钥对。 使用镜像密码(当节点类型为弹性云服务器虚拟机或物理机,且操作系统选择私有镜像时支持)
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
