检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用镜像密码(当节点类型为弹性云服务器虚拟机或物理机,且操作系统选择私有镜像时支持) 保留所选择镜像的密码。为了保证您的正常使用,请确保所选择镜像中已经设置了密码。 存储配置 配置节点云服务器上的存储资源,方便节点上的容器软件与容器应用使用。 表2 存储配置参数 参数 参数说明 系统盘
路径挂载到指定的容器路径。通常用于:“容器工作负载程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器工作负载”。 登录CCE控制台。 在创建工作负载时,在“容器配置”中找到“数据存储”,选择“主机路径(HostPath)”。 设置添加本地磁盘参数,如表1。
请求默认是通过集群服务转发规则(iptables或IPVS)转发到后端的容器实例。 当LB类型Service配置elb.pass-through后,集群内部客户端访问Service地址时会先访问到ELB,再通过ELB的负载均衡能力先访问到节点,然后通过集群服务转发规则(iptab
es中的DNS解析的特点,您可以通过以下的方式优化域名解析请求。 客户端使用连接池 当一个容器应用需要频繁请求另一服务时,推荐使用连接池配置,连接池可以缓存上游服务的链接信息,避免每次访问都经过DNS解析和TCP重新建链的开销。 优化容器内的resolve.conf文件 由于resolve
9镜像中有进行安全增强,移除系统中部分非安全或过期知名证书配置,部分第三方镜像在其他类型节点上未报错,在EulerOS 2.9系统报此错误属正常现象,也可通过下述解决方案进行处理。 解决方案: 确认报错unknown authority的第三方镜像服务器地址和端口。 从"实例拉取镜像失败"事件信
Status > Rules”页面中找到配置的PrometheusRules。 如何通过PrometheusRules配置告警规则 通过配置PrometheusRules的CR资源来创建普罗的告警规则。以集群CPU使用率告警为例创建告警配置模板,可以参考:https://prometheus
您需要在一台Linux虚拟机上安装kubectl命令行工具,kubectl的版本应该与集群版本相匹配,详情请参见安装kubectl。 安装kubectl的虚拟机需要可以访问每个集群的网络环境。 kubeconfig文件结构解析 kubeconfig是kubectl的配置文件,您可以在集群详情页面下载。
在CCE集群中使用密钥Secret的安全配置建议 当前CCE已为secret资源配置了静态加密,用户创建的secret在CCE的集群的etcd里会被加密存储。当前secret主要有环境变量和文件挂载两种使用方式。不论使用哪种方式,CCE传递给用户的仍然是用户配置时的数据。因此建议: 用户不应在日志中对相关敏感信息进行记录;
如果不配置集群管理权限,是否可以使用kubectl命令呢? 使用kubectl命令无需经过IAM认证,因此理论上不配置集群管理(IAM)权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件(kubeconfig),以下场景认证文件传递过程中
),使其不超过256。 单击“确定”。 问题场景二:集群配置管理异常 修复集群异常配置步骤如下: 登录CCE控制台,进入“配置中心”。 选择“网络配置”,修改“节点预热容器网卡数回收阈值”,使其不超过256。 单击“确认配置”。 父主题: 升级前检查异常问题排查
调整CoreDNS部署状态 CCE集群默认安装CoreDNS插件,CoreDNS应用默认情况下与您的业务容器运行在同样的集群节点上,部署时的注意事项如下: 合理调整CoreDNS副本数 合理分配CoreDNS所在位置 使用自定义参数完成CoreDNS隔离部署 基于HPA自动扩容CoreDNS
许特权逃逸”的配置。 通过配置安全计算模式seccomp,限制容器的系统调用权限,具体配置方法可参考社区官方资料使用 Seccomp 限制容器的系统调用。 通过配置ReadOnlyRootFilesystem的配置,保护容器根文件系统。 如deployment配置如下: apiVersion:
若参数有多个,多个参数以换行分隔。 启动后处理 登录CCE控制台,在创建工作负载时,配置容器信息,选择“生命周期”。 在“启动后处理”页签,设置启动后处理的参数。 表3 启动后处理-参数说明 参数 说明 命令行脚本方式 在容器中执行指定的命令,配置为需要执行的命令。命令的格式为Command Args[1]
为负载均衡类型的Service配置TLS TLS协议适用于需要超高性能和大规模TLS卸载的场景。您可以为Service配置TLS协议,转发来自客户端加密的TCP协议请求。 Service配置TLS协议依赖ELB能力,使用该功能前请确认当前区域是否支持使用TLS协议,详情请参见添加TLS监听器(独享型)。
在CCE集群中部署使用Tensorflow 资源准备 购买CCE集群,购买GPU节点并使用gpu-beta插件安装显卡驱动。 在集群下添加一个对象存储卷。 数据预置 从https://github.com/zalandoresearch/fashion-mnist下载数据。 获取
件详情与配置方法请参见负载感知调度。 开启重调度能力,完成负载感知重调度策略配置。插件详情与配置方法请参见重调度(Descheduler)。 关闭装箱调度策略(binpack)。插件详情与配置方法请参见装箱调度(Binpack)。 配置建议如下: 负载感知重调度策略配置推荐 高负
步骤重新安装。 未安装storage-driver插件的集群,可参考如下步骤进行安装: 登录CCE控制台,单击集群名称进入集群,在左侧导航栏中选择“插件中心”,在右侧找到CCE容器存储(FlexVolume),单击“安装”。 云存储插件暂未开放可配置参数,直接单击“安装”。 父主题:
密钥标签 密钥的标签。键值对形式,输入键值对后单击“确认添加”。 配置完成后,单击“确定”。 密钥列表中会出现新创建的密钥。 Secret资源文件配置示例 本章节主要介绍Secret类型的资源描述文件的配置示例。 Opaque类型 定义的Secret文件secret.yaml
过。容器运行时如Docker和containerd都提供了默认的Seccomp配置,这些配置适用于大多数通用工作负载。 在Kubernetes中,您可以为容器配置Seccomp策略以使用默认的安全配置。以下是如何在不同版本的Kubernetes中设置Seccomp的示例: 对于Kubernetes
器不调度到GPU节点上。 方案2: 建议您安装高版本的GPU驱动,通过kubectl更新GPU插件的配置,增加配置如下: tolerations: - operator: "Exists" 增加该配置后,可以使GPU插件驱动能够正常安装到打了污点的GPU节点上。 父主题: 节点运行
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
