检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
器可能会频繁迁移而影响业务。 配置过大:在节点故障时,容器可能长时间无法迁移,导致业务受损。 表1 容器故障迁移默认容忍周期配置参数说明 名称 参数 说明 取值 容器迁移对节点不可用状态的容忍时间 default-not-ready-toleration-seconds 表示节点
imagePullSecrets: - name: default-secret 以上yaml字段解释如表1。 表1 deployment字段详解 字段名称 字段说明 必选/可选 apiVersion 表示API的版本号。 说明: 请根据集群版本输入: 1.17及以上版本的集群中无状态应用apiVersion格式为apps/v1
时支持,且需要everest插件版本>=1.2.29。 请勿在节点上手动删除对应的存储池或卸载数据盘,否则会导致数据丢失等异常情况。 请确保节点上Pod不要挂载/var/lib/kubelet/pods/目录,否则可能会导致使用了临时存储卷的Pod无法正常删除。 父主题: 临时存储卷(EmptyDir)
name 无 - 支持初始化时配置,不支持后续修改 CCE Standard/CCE Turbo 路由ingress资源的唯一标识名称,用于资源的查询。 父主题: 路由
1230.B002),则建议您重置/删除对应节点后再使用networkpolicy。 执行以下步骤查询节点网络组件版本: 准备可执行kubectl的节点。 执行如下命令查询存量CentOS节点列表: for node_item in $(kubectl get nodes --no-headers
linux内核导致的容器逃逸漏洞公告(CVE-2022-0492) 漏洞详情 在某些场景下linux内核cgroup v1的release_agent特性存在可以被利用在容器内逃逸到OS上的安全问题,该问题已被收录为CVE-2022-0492。 表1 漏洞信息 漏洞类型 CVE-ID
Ingress配置了HTTPS证书后访问异常的原因有哪些? 为ELB Ingress配置了HTTPS证书后,如果证书配置出现以下问题,可能导致访问异常,您可以参考表格中的原因进行排查。 访问异常原因 问题现象 解决方案 证书已过期 通过curl命令测试时报错信息如下: SSL certificate
Master节点时区检查 检查项内容 检查到您集群中Master节点实际时区与集群时区不一致,滚动升级后Master节点上的时区会变为集群时区。 如果您集群中存在Cronjob,则可能会导致Cronjob在升级后触发一次非预期的执行。 解决方案 请在升级前关闭Cronjob后再次执行升级前检查,升级完成后开启Cronjob。
Pod状态异常,可能会降低Pod所属工作负载的服务能力;所有副本均不可用时,会导致业务不可用。可以通过如下命令来查看 Pod 的信息: 查看 Pod 的配置是否正确:kubectl get pod <PodName> -n <Namespace> -o yaml 查看 Pod 的事件:kubectl
判定健康检查成功,并发送RST报文给后端服务器中断TCP连接。 注意 正常的TCP三次握手后,会进行数据传输,但是在健康检查时会发送RST中断建立的TCP连接。该实现方式可能会导致后端服务器中的应用认为TCP连接异常退出,并打印错误信息,如“Connection reset by
三个网段不能重叠,否则会导致冲突。且集群所在VPC下所有子网(包括扩展网段子网)不能和容器网段、服务网段冲突。 保证每个网段有足够的IP地址可用。 集群网段的IP地址要与集群规模相匹配,否则会因为IP地址不足导致无法创建节点。 容器网段的IP地址要与业务规模相匹配,否则会因为IP地址不足导致无法创
请登录该节点,执行systemctl is-active systemd-journald命令查询journald服务运行状态。若回显状态异常,请执行systemctl restart systemd-journald命令后重新查询状态。 以下为正常回显: 图1 journald服务运行状态 若重启jo
例所需资源要求导致调度失败。 如果节点可分配资源小于Pod的申请量,则节点无法满足实例所需资源要求导致调度失败。 解决方案: 资源不足的情况主要解决办法是扩容,建议在集群中增加节点数量。 排查项三:检查工作负载的亲和性配置 当亲和性配置出现如下互斥情况时,也会导致实例调度失败: 例如:
Kubernetes为了防止误删除PV和PVC导致数据丢失,存在数据保护机制,无法使用delete命令直接删除。 解决方案 执行以下命令,先解除保护机制,再删除PV或PVC。 如果已经使用kubectl delete命令删除PV或PVC,会一直处在Terminating状态,在执行下
请根据集群版本确定资源超卖使用方式,详情请参见表1。 云原生混部资源超卖与兼容模式存在冲突,使用时选择两者中的一种即可。当集群版本不支持云原生混部时,云原生混部里的资源超卖的功能和参数配置均不会生效,若要使用资源超卖功能,请使用kubelet超卖。 表1 集群版本与资源超卖功能生效方式对应关系表 集群版本 具体版本号
节点干扰ContainerdSock检查异常处理 检查项内容 检查节点上是否存在干扰的Containerd.Sock文件。该文件影响Euler操作系统下的容器运行时启动。 解决方案 问题场景:节点使用的docker为定制的Euler-docker而非社区的docker 登录相关节点。
储卷的Pod会从删除的节点上驱逐,并重新创建Pod,Pod会一直处于pending状态,因为Pod使用的PVC带有节点标签,由于冲突无法调度成功。 注意事项 删除节点池会同时删除节点池下的全部节点,请及时备份数据,避免重要数据丢失。 删除节点会涉及Pod迁移,可能会影响业务,请在
114,该域名无法解析租户区域名。 根因分析 CCE会将用户的子网DNS信息配置到node节点上,coredns插件中也是使用该配置信息,因此会导致用户在节点容器内解析域名会偶发失败的状况。 解决方案 建议您通过修改coredns插件的存根域更新用户集群子网DNS配置,修改方法请参见为CoreDNS配置存根域。
Hill-Daniel发现Linux内核中包含一个整数溢出漏洞,可导致写操作越界。本地攻击者可以使用这一点导致拒绝服务(系统崩溃)或执行任意代码,在容器场景下拥有CAP_SYS_ADMIN权限的用户可导致容器逃逸到宿主机。目前已存在poc,但尚未发现已公开的利用代码。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别
容器启动后,容器中的内容不应修改。如果修改配置项(例如将容器应用的密码、证书、环境变量配置到容器中),当容器重启(例如节点异常重新调度Pod)后,会导致配置丢失,业务异常。 配置信息应通过入参等方式导入容器中,以免重启后配置丢失。 环境变量支持如下几种方式设置。 自定义:手动填写环境变量名称及对应的参数值。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
