检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Insufficient cpu. 查看PVC创建的云硬盘所在的可用区,发现data-nginx-3是在可用区1,而此时可用区1的节点没有资源,只有可用区3的节点有CPU资源,导致无法调度。由此可见PVC先绑定PV创建云硬盘会导致问题。 延迟绑定的云硬盘StorageClass 在集群中查看Storag
解决方法:根据业务需求对负载均衡器的后端服务器进行合理规划。 如何查询配额详情 如何查询配额使用详情 排查项二:后端服务器健康检查是否有异常 在Service更新ELB后端服务器的过程中,为保证流量不中断,会先增加后端服务器,在确保新加的后端服务器可用后,再删除原先的后端服务器。
1230.B002),则建议您重置/删除对应节点后再使用networkpolicy。 执行以下步骤查询节点网络组件版本: 准备可执行kubectl的节点。 执行如下命令查询存量CentOS节点列表: for node_item in $(kubectl get nodes --no-headers
器可能会频繁迁移而影响业务。 配置过大:在节点故障时,容器可能长时间无法迁移,导致业务受损。 表1 容器故障迁移默认容忍周期配置参数说明 名称 参数 说明 取值 容器迁移对节点不可用状态的容忍时间 default-not-ready-toleration-seconds 表示节点
时支持,且需要everest插件版本>=1.2.29。 请勿在节点上手动删除对应的存储池或卸载数据盘,否则会导致数据丢失等异常情况。 请确保节点上Pod不要挂载/var/lib/kubelet/pods/目录,否则可能会导致使用了临时存储卷的Pod无法正常删除。 父主题: 临时存储卷(EmptyDir)
Pod状态异常,可能会降低Pod所属工作负载的服务能力;所有副本均不可用时,会导致业务不可用。可以通过如下命令来查看 Pod 的信息: 查看 Pod 的配置是否正确:kubectl get pod <PodName> -n <Namespace> -o yaml 查看 Pod 的事件:kubectl
name 无 - 支持初始化时配置,不支持后续修改 CCE Standard/CCE Turbo 路由ingress资源的唯一标识名称,用于资源的查询。 父主题: 路由
判定健康检查成功,并发送RST报文给后端服务器中断TCP连接。 注意 正常的TCP三次握手后,会进行数据传输,但是在健康检查时会发送RST中断建立的TCP连接。该实现方式可能会导致后端服务器中的应用认为TCP连接异常退出,并打印错误信息,如“Connection reset by
Ingress配置了HTTPS证书后访问异常的原因有哪些? 为ELB Ingress配置了HTTPS证书后,如果证书配置出现以下问题,可能导致访问异常,您可以参考表格中的原因进行排查。 访问异常原因 问题现象 解决方案 证书已过期 通过curl命令测试时报错信息如下: SSL certificate
三个网段不能重叠,否则会导致冲突。且集群所在VPC下所有子网(包括扩展网段子网)不能和容器网段、服务网段冲突。 保证每个网段有足够的IP地址可用。 集群网段的IP地址要与集群规模相匹配,否则会因为IP地址不足导致无法创建节点。 容器网段的IP地址要与业务规模相匹配,否则会因为IP地址不足导致无法创
Master节点时区检查 检查项内容 检查到您集群中Master节点实际时区与集群时区不一致,滚动升级后Master节点上的时区会变为集群时区。 如果您集群中存在Cronjob,则可能会导致Cronjob在升级后触发一次非预期的执行。 解决方案 请在升级前关闭Cronjob后再次执行升级前检查,升级完成后开启Cronjob。
linux内核导致的容器逃逸漏洞公告(CVE-2022-0492) 漏洞详情 在某些场景下linux内核cgroup v1的release_agent特性存在可以被利用在容器内逃逸到OS上的安全问题,该问题已被收录为CVE-2022-0492。 表1 漏洞信息 漏洞类型 CVE-ID
Hill-Daniel发现Linux内核中包含一个整数溢出漏洞,可导致写操作越界。本地攻击者可以使用这一点导致拒绝服务(系统崩溃)或执行任意代码,在容器场景下拥有CAP_SYS_ADMIN权限的用户可导致容器逃逸到宿主机。目前已存在poc,但尚未发现已公开的利用代码。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别
请登录该节点,执行systemctl is-active systemd-journald命令查询journald服务运行状态。若回显状态异常,请执行systemctl restart systemd-journald命令后重新查询状态。 以下为正常回显: 图1 journald服务运行状态 若重启jo
容器启动后,容器中的内容不应修改。如果修改配置项(例如将容器应用的密码、证书、环境变量配置到容器中),当容器重启(例如节点异常重新调度Pod)后,会导致配置丢失,业务异常。 配置信息应通过入参等方式导入容器中,以免重启后配置丢失。 环境变量支持如下几种方式设置。 自定义:手动填写环境变量名称及对应的参数值。
Kubernetes为了防止误删除PV和PVC导致数据丢失,存在数据保护机制,无法使用delete命令直接删除。 解决方案 执行以下命令,先解除保护机制,再删除PV或PVC。 如果已经使用kubectl delete命令删除PV或PVC,会一直处在Terminating状态,在执行下
例所需资源要求导致调度失败。 如果节点可分配资源小于Pod的申请量,则节点无法满足实例所需资源要求导致调度失败。 解决方案: 资源不足的情况主要解决办法是扩容,建议在集群中增加节点数量。 排查项三:检查工作负载的亲和性配置 当亲和性配置出现如下互斥情况时,也会导致实例调度失败: 例如:
从控制台获取项目ID 从控制台获取项目ID的步骤如下: 登录管理控制台。 鼠标悬停在右上角的用户名,选择下拉列表中的“我的凭证”。 在“API凭证”页面的项目列表中查看项目ID。 图1 查看项目ID 父主题: 附录
IO时间占用率,iowait > 0.8。 磁盘慢IO DiskSlow 检查节点上所有磁盘是否存在慢IO,即IO读写有响应但响应缓慢 典型场景:云硬盘由于网络波动导致慢IO。 检查对象:所有数据盘 数据来源: /proc/diskstat 等效查询命令 iostat -xmt 1 默认阈值:
请根据集群版本确定资源超卖使用方式,详情请参见表1。 云原生混部资源超卖与兼容模式存在冲突,使用时选择两者中的一种即可。当集群版本不支持云原生混部时,云原生混部里的资源超卖的功能和参数配置均不会生效,若要使用资源超卖功能,请使用kubelet超卖。 表1 集群版本与资源超卖功能生效方式对应关系表 集群版本 具体版本号
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
