检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
K8s废弃API检查异常处理 检查项内容 系统会扫描过去一天的审计日志,检查用户是否调用目标K8s版本已废弃的API。 由于审计日志的时间范围有限,该检查项仅作为辅助手段,集群中可能已使用即将废弃的API,但未在过去一天的审计日志中体现,请您充分排查。 解决方案 检查说明 根据检查结果,
支持多级下钻与关联分析。仪表盘功能内置常见的容器监控大盘,如Kubernetes APIServer组件监控、CoreDNS组件监控和PVC监控等。 日志中心 CCE日志中心集成了云日志服务LTS。启用日志采集与管理,您可以快速采集CCE控制面组件日志(kube-apiserve
Bit是一个功能强大、灵活且易于使用的日志处理和转发工具,适用于各种规模和类型的应用和系统(如Linux、Windows、嵌入式Linux、MacOS等)。Fluent Bit 是众多云提供商和企业使用的流行日志记录实用程序,目前下载和部署次数已超过130亿次。 漏洞详情 表1 漏洞信息 漏洞类型
重启容器。 docker restart container_id 重启后查看日志中的时区是否与节点同一时区。 查看方法:单击工作负载名称进入工作负载详情页,单击右上角的“日志”按钮可查看日志详情。日志约需要等待5分钟查看。 场景三:工作负载与节点时区同步 方法一:制作容器镜像时,将时区设置为CST。
创建集群前,您需要设置好如表1中的环境。 表1 准备环境列表 序列 类别 操作步骤 1 创建虚拟私有云 您需要创建虚拟私有云,为CCE集群提供一个隔离的、用户自主配置和管理的虚拟网络环境。 若您已有虚拟私有云,可重复使用,无需多次创建。 登录管理控制台。 在服务列表中,选择“网络 > 虚拟私有云
和其他容器不受其影响。请输入用户ID,容器将以当前用户权限运行。 容器日志(可选):容器标准输出日志将默认上报至 AOM 服务,无需独立配置。您可以手动配置日志采集路径,详情请参见通过ICAgent采集容器日志(不推荐)。 如需要关闭当前负载的标准输出,您可在标签与注解中添加键为kubernetes
一致性、运营效率、开发人员工作效率和版本控制等诸多目标。容器可以帮助保证应用程序快速、可靠、一致地部署,不受部署环境的影响。 表1 虚机和容器部署对比表 类别 before:虚机部署 after:容器部署 部署 部署成本高。 每给一家客户部署一套系统,就需要购置一台虚拟机。 成本降低50%以上。
Memory)问题。为了解决这个问题,您可以使用通用文件存储(SFS 3.0)作为记录日志的载体,并将其挂载到容器内的相应目录中。当JVM发生OOM时,通用文件存储(SFS 3.0)可以将日志记录到相应的目录中。 前提条件 已创建CCE Standard集群,详情请参见购买Standard/Turbo集群。
节点ARP表项超过限制 问题现象 ARP缓存超限,容器网络的访问出现异常,例如coredns域名解析概率失败。 问题根因 出现该问题的原因是节点上容器缓存的ARP表项超过限制。 问题定位 在节点操作系统内核为4.3以上时,dmsg日志中会有显性的打印neighbor table
当前secret主要有环境变量和文件挂载两种使用方式。不论使用哪种方式,CCE传递给用户的仍然是用户配置时的数据。因此建议: 用户不应在日志中对相关敏感信息进行记录; 通过文件挂载的方式secret时,默认在容器内映射的文件权限为0644,建议为其配置更严格的权限,例如: apiversion:
如MySQL)、消息队列(如Kafka)等。本文将使用WordPress博客应用及MySQL数据库作为示例,在CCE集群中部署有状态工作负载。 WordPress是使用PHP语言和MySQL数据库开发的博客平台,并逐步演化成一款内容管理系统软件,您可以在CCE集群中使用容器搭建属
前提条件 如需将GPU事件同步上报至AOM,集群中需安装云原生日志采集插件,您可前往AOM服务查看GPU插件隔离事件。 GPU插件隔离事件 当GPU显卡出现异常时,系统会将出现问题的GPU设备进行隔离,详细事件如表1所示。 表1 GPU插件隔离事件 事件原因 详细信息 描述 隔离结果
服务启用Istio后,访问日志中无法获取到客户端源IP。 解决方案 本文以绑定ELB类型Service的nginx应用为例,详细步骤如下: ELB侧开启获取客户端IP 独享型ELB默认开启源地址透传功能,无需手动开启。 在管理控制台左上角单击图标,选择区域和项目。 选择“服务列表 > 网络 >
入方向规则:单击添加入方向规则,参数设置请参见表1。 表1 添加入方向规则 参数 参数说明 协议端口 请选择对应的协议类型和端口,目前支持TCP和UDP协议。 源对象命名空间 选择允许哪个命名空间的对象访问。不填写表示和当前策略属于同一命名空间。 源对象Pod标签 允许带有这个标签的Pod访问,不填写表示命名空间下全部Pod。
使用kubectl get查看Deployment和Pod,可以看到READY值为2/2,前一个2表示当前有2个Pod运行,后一个2表示期望有2个Pod,AVAILABLE为2表示有2个Pod是可用的。 $ kubectl create -f deployment.yaml deployment
通过Ingress的YAML来自动管理证书。 日志 表5 日志 高危操作 导致后果 误操作后解决方案 删除宿主机/tmp/ccs-log-collector/pos目录 日志重复采集 无 删除宿主机/tmp/ccs-log-collector/buffer目录 日志丢失 无 云硬盘 表6 云硬盘 高危操作
NetworkPolicy NetworkPolicy是Kubernetes设计用来限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。 默认情况下,如果命名空间中不存在任何策略,则所有进出该命名空间中的Pod的流量都被允许。
问题场景一: 1.25及以上集群中的service存在废弃的annotation:tolerate-unready-endpoints 报错日志信息如下: some check failed in cluster upgrade: this cluster has deprecated
export CHECKPOINT_DISABLE=false 构建过程可见性与可追溯考虑,默认开启了debugging详细日志,并指定了本地packer构建日志packer_{timestamp}.log以在构建时打包至镜像/var/log/目录。如涉及敏感信息,移除相关逻辑即可。
的费用。LTS收费标准请参见价格计算器。 日志类型 日志 LTS日志流名称 开启状态 参考文档 容器日志 容器标准输出 stdout-{clusterId} 开通业务日志采集需安装云原生日志采集插件。 通过云原生日志采集插件采集容器日志 Kubernetes事件 Kubernetes事件
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
