检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
您是否后台修改过配置文件。 /opt/cloud/cce/kubernetes/kubelet/kubelet /opt/cloud/cce/kubernetes/kubelet/kubelet_config.yaml /opt/cloud/cce/kubernetes/kube-proxy/kube-proxy
函数会导致双重释放漏洞,本地攻击者利用此漏洞可将普通用户权限提升至 root 权限。 该漏洞是一个本地提权漏洞,需要攻击者先渗透到集群的node节点,利用难度较高。 判断方法 如果集群node节点OS是CentOS 7.6、Huawei Cloud EulerOS 1.1,由于内核版本低于3
io/name: apiserver name: kube-apiserver namespace: monitoring #修改为Prometheus安装的命名空间 spec: endpoints: - bearerTokenFile: /var/run/secrets/kubernetes
在“服务发现”页面,切换至istio-system命名空间,并更新服务所关联的网关服务。 将istio-system命名空间下自动生成的Service改为节点级别。 验证获取源IP 使用kubectl连接集群。 查看nginx应用日志。 kubectl logs <pod_name> 本示例中,nginx应用获取到的源IP如下:
隔离。 Pod可直接关联安全组,基于安全组的隔离策略,支持集群内外部统一的安全隔离。 安全隔离性 普通容器:Cgroups隔离 安全容器:当前仅物理机支持,提供虚机级别的隔离 普通容器:Cgroups隔离 提供虚机级别的隔离 边缘基础设施管理 不支持 支持管理智能边缘小站 不支持
通过DNS Endpoint做级联解析 前提条件 CCE集群所在VPC与线下IDC已经使用专线或其他方式正确连接,IDC与VPC网段和CCE集群容器网段能够互访。专线的创建方法请参见云专线快速入门。 操作步骤 在CCE集群所在VPC创建 DNS Endpoint。 登录VPCEP控制台。
就是在最少连接数的基础上,根据服务器的不同处理能力,给每个服务器分配不同的权重,使其能够接受相应权值数的服务请求。常用于长连接服务,例如数据库连接等服务。 源IP算法:将请求的源IP地址进行Hash运算,得到一个具体的数值,同时对后端服务器进行编号,按照运算结果将请求分发到对应编
IO读写时延(单队列,4KiB数据块大小) 1 ms ~ 3 ms 1 ms 典型应用场景 普通开发测试 转码类业务。 I/O密集型场景,例如: NoSQL SQL Server PostgreSQL 时延敏感型场景,例如: Redis Memcache 关于专属存储性能的详细介绍,请以存储池类型及性能介绍为准。
隧道网络模式:集群内部网络隔离策略,支持Networkpolicy。 VPC网络模式:不支持 安全 隔离性 物理机:安全容器,支持虚机级别的隔离 虚拟机:普通容器,Cgroups隔离 普通容器,Cgroups隔离 集群版本 由于Kubernetes社区版本迭代较快,新版本中通常包含许多Bug修复和新功能,而旧版
python -m json.tool 登录检查失败的异常节点,参考上一步重新获取OBS地址,检查是否一致。若不一致,请将异常节点的OBS地址修改为正确地址。 通过以下命令下载最新的二进制文件。 x86系统 curl -k "https://{您获取的obs地址}/cluster-ve
25.13-r0、v1.27-10-r0、v1.28.8-r0、v1.29.4-r0及以上集群版本中,支持通过集群或节点池配置将软链方式修改为挂载,且节点池配置优先级高于集群配置。 当前仅提供API方式创建: 创建集群API示例如下,其余参数配置说明请参见创建集群。 POST /
如果使用Master+Agent模式,建议将Master的并发构建数设置为0,即全部使用Agent进行构建。如果使用单Master模式,则无需修改为0。 修改执行并发构建的最大数目,示例中修改为2,您可根据实际需求并结合节点性能进行修改该值。 父主题: 实施步骤
Velero官方文档提供的YAML文件中存储类型为empty dir,建议将其修改为HostPath或Local类型,否则容器重启后将永久丢失备份文件。 您需将MinIO服务对外提供访问,否则将无法在集群外下载备份文件,可选择将Service修改为NodePort类型或使用其他类型的公网访问服务。 无论
新增挂载点健康检查MountPointProblem 避免与Service端口范围冲突,默认健康检查监听端口修改为19900,默认Prometheus指标暴露端口修改为19901。 新增支持1.25集群版本 0.8.10 1.16.4 v1.17 v1.19 v1.21 v1.23
修复autoscaler伸缩策略least-waste默认未启用的问题 修复节点池扩容失败后无法切换到其他节点池扩容且插件有重启动作的问题 默认污点容忍时长修改为60s 扩容规则禁用后仍然触发扩容 1.25.0 1.25.11 v1.25 支持插件实例AZ反亲和配置 对创建临时存储卷的POD添加不可调度容忍时间
io/disk-volume-type 云硬盘存储类型,支持SAS、SSD。和上述步骤的PV保持一致。 name PVC资源名称,同namespace下唯一。保证在namespace下唯一即可。(若PVC是由有状态应用动态创建,则保持和FlexVolume PVC的name一致)。 namespace PVC
27及以上时,仅支持Ubuntu 22.04。 Huawei Cloud EulerOS 无限制 检查到节点属于默认节点池,但是含有普通节点池标签,将影响升级流程 由节点池迁移至默认节点池的节点,"cce.cloud.com/cce-nodepool"该标签影响集群升级。请确认该节点上的负载调度是否依赖该标签:
分布式的场景,要求每个Pod都有自己单独的状态时,比如分布式数据库,每个Pod要求有单独的存储,这时Deployment无法满足业务需求。 分布式有状态应用的特点主要是应用中每个部分的角色不同(即分工不同),比如数据库有主备、Pod之间有依赖,在Kubernetes中部署有状态应用对Pod有如下要求:
#同一个集群中不同套Ingress Controller名称必须唯一,且不能设置为nginx和cce controllerValue: "k8s.io/ingress-nginx-demo" #同一个集群中不同套Ingress Controller的监听标识必须唯一,且不能设置为k8s.io/ingress-nginx
Kubernetes的用户分为服务账户(ServiceAccount)和普通账户两种类型。 服务账户与Namespace绑定,关联一套凭证,Pod创建时挂载Token,从而允许与API Server之间调用。 Kubernetes中没有代表普通账户的对象,这类账户默认由外部服务独立管理,比如在CCE的用户是由IAM管理的。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
