检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用kubectl部署带极速文件存储卷的无状态工作负载 操作场景 极速文件存储创建或导入CCE后,可以在工作负载中挂载极速文件存储。 约束与限制 如下配置示例适用于Kubernetes 1.13及以下版本的集群。 操作步骤 请参见通过kubectl连接集群,使用kubectl连接集群。
com/ascend-310指定申请NPU的数量。 使用huawei.com/ascend-310参数指定NPU数量时,requests和limits值需要保持一致。 指定huawei.com/ascend-310后,在调度时不会将负载调度到没有NPU的节点。如果缺乏NPU资源,会报类似“0/2
筛选结果中将会包含多个安全组,找到控制节点的安全组(以[cce集群名称]-cce-control开头),单击“配置规则”。 修改入方向的5443端口规则,单击“修改”。 根据需求修改允许访问的源地址。例如,客户端需要访问API Server的IP为100.*.*.*,则可添加5443端口入方向规则的源地址为100
[tolerate-unready-endpoints] 检查日志信息中所给出的service是否存在"tolerate-unready-endpoints"的annotation,如果存在则将其去掉,并在对应的service的spec中添加下列字段来替代该annotation: publishNotReadyAddresses:
oers.d/sudoerspaas文件,以获取sudo权限,更新节点上属主和属组为root的组件(例如docker、kubelet等)与相关配置文件。请登录节点执行如下命令,排查文件的可修改性。 lsattr -l /etc/sudoers.d/sudoerspaas /etc/sudoers
11.2之前的版本中,攻击者若具备在Kubernetes集群中创建Ingress对象(属于networking.k8s.io或extensions API 组)的权限,可能绕过注解验证并注入任意命令,从而获取ingress-nginx控制器的凭证,并访问集群中的所有敏感信息。 判断方法
为Nginx Ingress配置HTTPS协议的后端服务 Ingress可以代理不同协议的后端服务,在默认情况下Ingress的后端代理通道是HTTP协议的,若需要建立HTTPS协议的通道,可在annotation字段中加入如下配置: nginx.ingress.kubernetes
检查项内容 系统会扫描过去一天的审计日志,检查用户是否调用目标K8s版本已废弃的API。 由于审计日志的时间范围有限,该检查项仅作为辅助手段,集群中可能已使用即将废弃的API,但未在过去一天的审计日志中体现,请您充分排查。 解决方案 检查说明 根据检查结果,检测到您的集群通过kubectl
请求数/秒 每秒不同响应码的请求个数 请求成功率(读) 百分比 每秒读请求中响应码为20x的请求比例 处理中请求数 个数 APIServer在处理中的请求个数 请求速率(读) 请求数/秒 每秒不同响应码的读请求个数 请求错误率(读) 百分比 每秒读请求的错误请求比例 请求时延(读)(P99)
您可以使用镜像快速创建一个可公网访问的单实例工作负载。本章节将指导您基于云容器引擎CCE快速部署Nginx容器应用,并管理该容器应用的全生命周期,以期让您具备将云容器引擎应用到实际项目中的能力。 前提条件 您需要创建一个至少包含一个4核8G节点的集群,且该节点已绑定弹性IP。 集群是运行工作负载的逻辑分组,
由于容器场景下Pod的极速弹性与慢速的容器网卡创建绑定的差异,严重影响了大规模批创场景下的容器启动速度。因此,云原生2.0网络提供了容器网卡动态预热的能力,在尽可能提高IP的资源利用率的前提下,尽可能加快Pod的启动速度。 约束与限制 CCE Turbo的1.19.16-r4、1
提供一个安全、隔离的网络环境。 如果用户已有VPC,可重复使用,不需多次创建。 创建VPC 登录管理控制台,选择“网络 > 虚拟私有云 VPC”。 在虚拟私有云控制台,单击右上角的“创建虚拟私有云”,按照提示完成创建。 创建完成后返回虚拟私有云列表,单击创建的VPC名称,在详情页
PU等异构节点的混合部署,基于高性能网络模型提供全方位、多场景、安全稳定的容器运行环境。 Turbo: CCE Turbo集群。 全面基于云原生基础设施构建的云原生2.0的容器引擎服务,具备软硬协同、网络无损、安全可靠、调度智能的优势,为用户提供一站式、高性价比的全新容器服务体验。
检查当前集群中网络组件配置(eni)中节点预热容器网卡回收阈值(nic-max-above-warm-target)是否超过允许设置的最大值。 解决方案 根据错误信息确认受影响的范围,例如: configuration check failed: [nodepool id(1786cd55-xx
该漏洞为Linux内核权限校验漏洞,根因为没有针对性的检查设置release_agent文件的进程是否具有正确的权限。在受影响的OS节点上,工作负载使用了root用户运行进程(或者具有CAP_SYS_ADMIN权限),并且未配置seccomp时将受到漏洞影响。 CCE集群受该漏洞影响的范围如下: x86场景EulerOS
登录异常节点执行以下命令,获取有效的OBS地址,如图中addr地址为正确的OBS地址。 cat /home/paas/upgrade/agentConfig | python -m json.tool 登录检查失败的异常节点,参考上一步重新获取OBS地址,检查是否一致。若不一致,请将异常节点的OBS地址修改为正确地址。
23 v1.25 v1.27 v1.28 v1.29 v1.30 兼容单系统盘 支持插件实例AZ反亲和配置 支持在竞价实例被释放前给节点加污点,驱逐节点上的pod 插件挂载节点时区 适配CCE v1.30集群 0.8.10 1.19.1 v1.21 v1.23 v1.25 v1.27
中间件部署平台:CCE集群可以作为中间件的部署平台,使用StatefulSet、PVC等资源配置,能够实现应用的有状态化,同时配套弹性负载均衡实例,可实现中间件服务的对外发布。 执行普通任务、定时任务:使用容器化方式运行Job、CronJob类型应用,帮助业务降低对主机系统配置的依赖,全局的资源调度既保证
在处理的请求的连接。如果后端服务Pod在收到结束信号后立即退出,可能会导致正在处理的请求失败或部分流量仍被转发到已经退出的Pod中,导致部分流量损失。为了避免这种情况,建议在后端服务的Pod中配置preStop Hook,在Pod被移除后继续工作一段时间,以解决流量中断的问题。 工作负载配置示例如下:
relist中99%的操作的间隔分布情况 PLEG relist时延(99分位) 秒 Kubelet PLEG relist中99%的操作的时延分布情况 RPC速率 次/秒 不同状态响应码的RPC请求的次数 请求时延(99分位) 秒 不同method的请求的99%的时延分布情况 内存使用量
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
