检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
kubelet和kube-proxy授权问题漏洞公告(CVE-2020-8558) 修复Kubernetes HTTP/2漏洞公告 修复Linux内核SACK漏洞公告 修复Docker操作系统命令注入漏洞公告(CVE-2019-5736) 全面修复Kubernetes权限许可和访问控制
接已有CI/CD,完成传统应用的容器化改造和部署。 优势 高效流程管理 更优的流程交互设计,脚本编写量较传统CI/CD流水线减少80%以上,让CI/CD管理更高效。 灵活的集成方式 提供丰富的接口便于与企业已有CI/CD系统进行集成,灵活适配企业的个性化诉求。 高性能 全容器化架构设计,任务调度更灵活,执行效率更高。
问题现象 若上传的模板中包含不正确或者不兼容的资源,会导致安装模板失败,类似下图: 此时模板实例无法正常工作。如果您尝试在界面上删除,可能会出现deletion failed的报错,模板实例仍在列表中: 解决方法 您可以使用kubectl命令删除残留的模板实例。 删除残留的模板实例无法
true参数,详情请参见在Pod中配置主机网络(hostNetwork)。配置完成后的Pod会占用宿主机的端口,Pod的IP就是宿主机的IP,不会占用容器网络的IP。使用时需要考虑是否与宿主机上的端口冲突,因此一般情况下除非某个特定应用必须使用宿主机上的特定端口,否则不建议使用主机网络。 父主题: 附录
集群原地升级过程中会修改/etc/sudoers文件和/etc/sudoers.d/sudoerspaas文件,以获取sudo权限,更新节点上属主和属组为root的组件(例如docker、kubelet等)与相关配置文件。请登录节点执行如下命令,排查文件的可修改性。 lsattr -l /etc/sudoers
关联资源的正常使用,请谨慎操作。 如果已与其他按需资源关联,退订操作完成后,关联的按需资源可以正常使用并计费。 如果您本次退订属于非五天无理由退订,需收取手续费和已消费金额,已使用的代金券和折扣券不退还。 登录CCE控制台,在左侧导航栏中选择“集群管理”。 找到需要退订的集群,查
资源与成本规划 本文提供的成本预估费用仅供参考,资源的实际费用与用户所在区域相关,请以华为云管理控制台显示为准。 完成本实践所需的资源如下: 表1 资源和成本规划 资源 资源说明 数量 费用(元) 弹性云服务器ECS 建议选择按需计费。 虚拟机类型:通用计算增强型 节点规格:4核
计费项 云容器引擎的计费项由集群费用和其他云服务资源费用组成。了解每种计费项的计费因子、计费公式等信息,请参考计费项。 集群:控制节点资源费用,按照每个集群的类型(虚拟机或裸金属、控制节点数)、集群规模(最大支持的节点数)的差异收取不同的费用。 控制节点资源的价格目录请参见:云容器引擎价格目录。
期望运行在同一物理CPU的超线程 如果您的应用有以上其中一个特点,可以利用Kubernetes中提供的CPU管理策略为应用分配独占的CPU核(即CPU绑核),提升应用性能,减少应用的调度延迟。CPU manager会优先在一个Socket上分配资源,也会优先分配完整的物理核,避免一些干扰。
磁盘读取速率 字节/秒 不同的磁盘的读取速率 磁盘空间使用 字节 磁盘可用量和已使用量 磁盘空间使用率 百分比 不同设备的磁盘使用率 磁盘IO延迟(秒) 秒 磁盘IO延迟 TCP连接 个 TCP连接数 alloc:已分配(已建立、已申请到sk_buff)的TCP套接字数量。 inu
此逻辑针对于华为云所有服务均有效。 “容器隧道网络”的集群,天然支持各服务间内网通信,不需要另外配置。 “VPC网络”模型的集群需要注意的事项: 对端看到的来源IP为容器IP。 容器在VPC内的节点上互通,是通过CCE添加的自定义路由规则实现的。 CCE中的容器访问其他服务时,需要关注对端(目的
值以内,形成对CPU的限流。频繁的CPU限流会影响业务性能,增大业务长尾响应时延,对于时延敏感型业务的影响尤为明显。 CPU Burst提供了一种可以短暂突破CPU Limit值的弹性限流机制,以降低业务长尾响应时间。其原理是业务在每个CPU调度周期内使用的CPU配额有剩余时,系
ction(依赖调用的接口对应一个Action)粒度的权限集。如果您已经进行了服务授权,可以一键进行权限优化,优化您授权的权限。 当您同意授权后,将在IAM中自动创建账号委托,将账号内的其他资源操作权限委托给华为云CCE服务和华为云AOM服务进行操作。关于委托详情,您可参考委托其
根据PDB规则保障关键业务的可用性。 节点的系统盘和数据盘将会被清空,重置前请事先备份重要数据。 节点重置会清除用户单独添加的K8S标签和K8S污点,可能导致与节点有绑定关系的资源(本地存储,指定调度节点的负载等)无法正常使用。请谨慎操作,避免对运行中的业务造成影响。 升级操作完成后,节点将会自动开机。
Administrator权限的账户完成授权,将当前区域云资源权限授权给CCE,以此来支持成本治理功能运行需要。 为了最小化授权,CCE服务进行了一次权限细粒度化改造,将由系统策略为粒度的权限集,修改为Action(依赖调用的接口对应一个Action)粒度的权限集。如果您已经进行了服
failure-domain.beta.kubernetes.io/region 集群所在的region。 failure-domain.beta.kubernetes.io/zone 创建云硬盘所在的可用区,必须和工作负载规划的可用区保持一致。 storage 存储容量,单位为Gi。 accessModes
是一些常见的场景: 表1 容器重建的常见场景 常见场景 说明 容器崩溃或异常终止 当运行中的容器因软件错误、资源耗尽或其他意外情况崩溃时,为了确保服务的连续性,系统会自动重建容器以迅速恢复服务。 手动删除某容器 若手动删除了某个正在运行的容器,容器编排工具会根据定义的部署策略重新
文件存储的场景,涉及链路的挂载参数(如timeo)仅在第一次挂载时生效。例如,节点上运行的多个Pod同时挂载同一文件存储,后设置的挂载参数不会覆盖已有参数值。针对上述场景希望设置不同的挂载参数,可以同时设置nosharecache挂载参数。 极速文件存储挂载参数 CCE的存储插件
客户端ID:填写一个ID,后续创建容器时使用。 签名公钥:CCE集群的jwks,获取方法请参见步骤一:获取CCE集群的签名公钥。 身份转换规则 身份映射规则是将工作负载的ServiceAccount和IAM用户做映射。 例如在集群default命名空间下创建一个名为oidc-token的ServiceAccount,
是集群级别的资源,它能够控制Pod规约中与安全性相关的各个方面。 PodSecurityPolicy对象定义了一组Pod运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被系统接受。 v1.17.17版本的集群默认启用Pod安全策略准入控制组件,并创建名为psp-global的全局默认安全策略,您
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
