检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务名称:选择需要添加Ingress的服务。 服务端口:容器镜像中容器实际监听端口,需用户确定。 配置完成后,单击“提交”。 创建完成后,在Ingress列表可查看到已创建成功的Ingress。 更新Service 您可以在添加完Service后,更新此Service的端口配置,操作步骤如下: 登录
s/93032 如何判断是否涉及漏洞 使用了受影响的集群版本: kubelet v1.18.0-1.18.5 kubelet v1.17.0-1.17.8 kubelet < v1.16.13 漏洞分析结果 CCI服务不受本次漏洞影响,原因如下: CCI当前集群基于 Kubernetes
CCI配合AOM对Pod资源进行基础监控,资源基础监控包含CPU/内存/磁盘等。您可以在CCI控制台查看Pod的监控指标数据,也可以在AOM中查看。 监控指标 在AOM控制台,可以查看容器实例的指标,指标内容请参见表1。 表1 监控指标 指标ID 指标名称 指标含义 取值范围 单位 cpuUsage CPU使用率
华为云CCI团队已经于7月22日识别Kubernetes 安全漏洞CVE-2020-8559并对其进行了详细分析,分析结论为:用户与CCI服务均不受本次漏洞的影响,无需进行处理。 漏洞详情 近日Kubernetes官方披露了kube-apiserver组件的安全漏洞CVE-2020-8559,CVSS
创建Pod时,填写pod-with-eip的annotation后,EIP会随Pod自动创建并绑定至该Pod。 以下示例创建一个名为nginx的无状态负载,EIP将随Pod自动创建并绑定至Pod。具体字段含义见表1。 创建独占带宽类型的Deployment,无需指定带宽ID,示例如下:
新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云容器实例,进入CCI主界面,左侧导航栏中选择“工作负载 > 无状态(Deployment)”,在右侧页面单击“镜像创建”,如果可以正常创建工作负载,表示“CCI CommonOperations”已生效。 在“服务列表”中选择云容器实例,进入C
memory: 1024Mi imagePullSecrets: - name: imagepull-secret Pod有了Label后,在查询Pod的时候带上 --show-labels 就可以看到Pod的Label。 $ kubectl get pod --show-labels
内核参数配置 CCI服务底座使用安全容器构建了业内领先的Serverless容器平台,同物理机系统内核隔离且互不影响。对于资深业务部署场景,内核参数调优是比较通用的方式。在安全范围内,CCI服务允许客户根据Kubernetes社区推荐的方案,通过Pod的安全上下文(Security
在页面单击失败的工作负载,进入负载详情界面,查看Pod列表,获取Pod名字。 查看失败的容器的名称。 kubectl describe pod $name -n $namespace | grep "Error syncing pod failed to" 图2 查看失败的容器的名称 查看退出容器的错误日志。
e-proxy安全漏洞CVE-2020-8558并对其进行了详细分析,分析结论为:基于CCI服务当前形态,用户与CCI服务均不受本次漏洞的影响,无需进行处理。 漏洞详情 Kubernetes官方发布安全漏洞(CVE-2020-8558),Kubernetes节点的设置允许相邻主机绕过本地主机边界进行访问。
为什么业务运行性能不达预期? 由于CCI服务底层资源是多租户共享的,为了保障用户业务稳定,CCI服务底层对于磁盘IO等是有流控限制的。体现在容器内,主要影响是负载对根目录rootfs的读写、负载标准日志输出数据量都会受到一定限制。如果您的业务运行性能不达预期,可以从以下几个可能的原因进行排查:
在此时间内网络路由尚未完成配置,请稍作等待。 负载创建3分钟以后仍然无法访问。在“工作负载 -> 查看您创建的负载详情-> 选择访问配置 -> 选择访问事件”,查看访问事件,查看是否有告警事件。如下两种情况为无法访问公网的事件。 Listener port is repeate
CCI的kubernetes资源通过命名空间进行权限设置,目前包含cluster-admin、admin、edit、view四种角色,详见表2。 表2 用户/用户组角色说明 默认的ClusterRole 描述 cluster-admin 具有Kubernetes所有资源对象操作权限。
CCI的kubernetes资源通过命名空间进行权限设置,目前包含cluster-admin、admin、edit、view四种角色,详见表2。 表2 用户/用户组角色说明 默认的ClusterRole 描述 cluster-admin 具有Kubernetes所有资源对象操作权限。
负载访问504问题一般是因为ELB实例绑定的Port到后端 CCI 负载Pod的安全组没有放通。查看CCI负载Pod使用的安全组,确保安全组规则放通ELB实例绑定的Port。 Pod绑定的安全组可以通过查看负载对应Network获得,调用Network接口,响应里面metadata.annotations中的network
in-id),所以需要先在管理控制台上获取到账号ID。账号ID获取步骤如下: 登录管理控制台。 单击用户名,在下拉列表中单击“我的凭证”。 在“API凭证”页面查看账号ID。 图1 获取账号ID 父主题: 附录
Service 直接访问Pod的问题 负载创建完成后,如何访问负载呢?访问负载实际上就是访问Pod,但是直接访问Pod会有如下几个问题: Pod会随时被Deployment这样的控制器删除重建,那访问Pod的结果就会变得不可预知。 Pod的IP地址是在Pod启动后才被分配,在启动前并不知道Pod的IP地址。
语法),也可使用JSON格式。 sys_enterprise_project_id:表示企业项目ID,可进入企业管理的企业项目详情页面获取。未开通企业管理的用户无需配置此参数。不配置时默认为0,表示default企业项目。 namespace.kubernetes.io/flavor:
语法),也是使用JSON格式。 sys_enterprise_project_id:表示企业项目ID,可进入企业管理的企业项目详情页面获取。未开通企业管理的用户无需配置此参数。不配置时默认为0,表示default企业项目。 namespace.kubernetes.io/flavor:
保存配置修改,等待virtual-kubelet负载重启。 验证方式。 通过exec进入弹性到CCI运行中的容器内,查看/etc/resolv.conf中首选nameserver是否为cluster-dns配置的地址。 表1 使用场景约束限制 使用场景 约束限制 修改配置前存在弹性CCI的pod 修改配置后新创建弹性CCI的pod生效。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
