检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在CCE中实现应用高可用部署 基本原则 在CCE中,容器部署要实现高可用,可参考如下几点: 集群选择3个控制节点的高可用模式。 创建节点选择在不同的可用区,在多个可用区(AZ)多个节点的情况下,根据自身业务需求合理的配置自定义调度策略,可达到资源分配的最大化。 创建多个节点池,不同节点池部署在不同可用区,通过节点池扩展节点。
字段的内容(例如,映射到主机名api.foo.bar.example)。 该映射将集群的 DNS 服务器配置为返回具有该外部主机名值的 CNAME 记录。 无需创建任何类型代理。 配置建议: 根据业务诉求配置类型 服务标签 服务的标签是service上标记的键值对,旨在用于指定对用户有意义且相关的对象的标识属性
server的证书是否配置了SAN字段。 若无自建webhook server则不涉及。 若未配置,建议您配置使用SAN字段指定证书支持的IP及域名。 须知: 为减弱此版本差异对集群升级的影响,v1.15升级至v1.19时,CCE会进行特殊处理,仍然会兼容支持证书不带SAN。但后
0网络模式下,Pod使用的是VPC的弹性网卡/辅助弹性网卡,可以通过配置Pod的annotation为Pod配置安全组。 支持两种方式的安全组配置: Pod的网卡使用annotation配置的安全组,对应annotation配置:yangtse.io/security-group-ids。
轮转证书文件数量检查 检查项内容 检查您节点上的证书数量过多(>1000),由于升级过程中会批量处理证书文件,证书文件过多可能导致节点升级过慢,节点上Pod被驱逐等。 解决方案 方案一:优先建议您重置节点,详情请参考重置节点。 方案二:修复节点上证书轮转异常问题。 进入节点/op
控制Pod中容器使用的Sysctl配置。 Pod安全策略开放非安全系统配置示例 节点池管理中可以为相应的节点池配置allowed-unsafe-sysctls,CCE从1.17.17集群版本开始,需要在Pod安全策略的allowedUnsafeSysctls字段中增加相应的配置才能生效,配置详情请参考表1。
容器网络带宽限制的配置建议 通过配置容器内核参数增大监听队列长度 通过负载均衡配置实现会话保持 为负载均衡类型的Service配置pass-through能力 自定义部署Nginx Ingress Controller Nginx Ingress使用建议 为Nginx Ingress配置应用流量镜像
Ingress高级配置示例 为ELB Ingress配置HTTPS证书 更新ELB Ingress的HTTPS证书 为ELB Ingress配置服务器名称指示(SNI) 为ELB Ingress配置多个转发策略 为ELB Ingress配置HTTP/2 为ELB Ingress配置HTTPS协议的后端服务
为ELB Ingress配置慢启动持续时间 慢启动指负载均衡器向组内新增的后端服务器Pod线性增加请求分配权重,直到配置的慢启动时间结束,负载均衡器向后端服务器Pod正常发送完请求的启动模式。慢启动能够实现业务的平滑启动,完美避免业务抖动问题。 配置慢启动持续时间后,如果您在YA
404:ALB 如果404的返回如下图所示,说明这个返回码是由nginx(客户业务)返回,请排查客户自身业务问题。 图2 404:nginx/1.**.* 父主题: 网络异常问题排查
name: nginx spec: replicas: 3 selector: matchLabels: app: nginx template: metadata: labels: app: nginx spec:
Server可以调用Kubernetes原生API。 获取集群证书及API Server。 方式一:通过获取集群证书API获取,将返回的信息保存至kubeconfig.json文件中,并提取证书、私钥和API Server信息,命令如下。 # 获取集群CA证书并保存为ca.crt cat ./kubeconfig
为Pod配置QoS 操作场景 部署在同一节点上的不同业务容器之间存在带宽抢占,容易造成业务抖动。您可以通过对Pod配置带宽限制来解决这个问题。 功能规格 Pod带宽限制功能规格如下: 功能规格 容器隧道网络模型 VPC网络模型 云原生网络2.0模型 支持的集群版本 所有集群版本均支持
log_configs Array of log_configs objects 日志配置项 表6 log_configs 参数 参数类型 描述 name String 日志类型 enable Boolean 是否采集 请求示例 配置集群日志上报LTS /api/v3/projects/{proje
rol开头),单击“配置规则”。 修改入方向的5443端口规则,单击“修改”。 根据需求修改允许访问的源地址。例如,客户端需要访问API Server的IP为100.*.*.*,则可添加5443端口入方向规则的源地址为100.*.*.*。 除客户端IP外,端口还需保留对VPC网段
single-request-reopen 在Pod中访问nginx Pod的ServiceName:Port,会先从CoreDNS中解析出nginx Service的IP地址,然后再访问nginx Service的IP地址,从而访问到nginx Pod。 图1 集群内域名解析示例图 Kubernetes中的域名解析逻辑
创建一台CCE集群,且需要给节点绑定一个EIP,用于安装Gitlab Runner时下载镜像。 下载并配置kubectl连接集群。 登录CCE控制台,在集群总览页面找到“连接信息”版块,单击kubectl对应的“配置”按钮,按照指导配置kubectl。 安装helm 3,具体请参见https://helm.sh
[镜像仓库地址]/[组织名称]/[镜像名称:版本名称] 示例: docker tag nginx:v1 swr.cn-east-3.myhuaweicloud.com/cloud-develop/nginx:v1 上传镜像至目标镜像仓库。 docker push [镜像仓库地址]/[组织名称]/[镜像名称:版本名称]
io/elb.id: aed5d5c9-65eb-42ab-9f80-57825cbae309 kubernetes.io/elb.ip: 1.1.1.1 kubernetes.io/elb.port: "80" name: test-eip namespace:
io/tls或IngressTLS类型时,上传证书文件和私钥文件。 说明: 证书是自签名或CA签名过的凭据,用来进行身份认证。 证书请求是对签名的请求,需要使用私钥进行签名。 密钥标签 密钥的标签。键值对形式,输入键值对后单击“确认添加”。 配置完成后,单击“确定”。 密钥列表中会出现新创建的密钥。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
