检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
节点配置文件检查异常处理 检查项内容 检查节点上关键组件的配置文件是否存在。 当前检查文件列表如下: 文件名 文件内容 备注 /opt/cloud/cce/kubernetes/kubelet/kubelet kubelet命令行启动参数 - /opt/cloud/cce/kub
开启gzip压缩 配置自定义EIP 转发策略配置 配置灰度发布 配置URL重定向 配置Rewrite重写 配置HTTP重定向到HTTPS 配置转发规则优先级 配置自定义Header转发策略 配置跨域访问 写入/删除Header 配置高级转发规则 对接ELB的基本配置 具体使用场景和示例如下:
Node节点访问内网NTP服务器端口。 TCP:443 100.125.0.0/16网段 Node节点访问内网OBS端口用于拉取安装包。 TCP:6443 100.125.0.0/16网段 Node节点上报节点安装成功。 父主题: 网络规划
为负载均衡类型的Service配置TLS TLS协议适用于需要超高性能和大规模TLS卸载的场景。您可以为Service配置TLS协议,转发来自客户端加密的TCP协议请求。 Service配置TLS协议依赖ELB能力,使用该功能前请确认当前区域是否支持使用TLS协议,详情请参见添加TLS监听器(独享型)。
使用hostAliases参数配置Pod的/etc/hosts文件 使用场景 DNS配置或其他选项不合理时,可以向pod的“/etc/hosts”文件中添加条目,使用hostAliases在pod级别覆盖对主机名的解析。 操作步骤 使用kubectl连接集群。 创建hostaliases-pod
3.3版本及更早版本的Alpine不支持search参数,不支持搜索域,无法完成服务发现。 并发请求/etc/resolve.conf中配置的多个DNS服务器,导致NodeLocal DNSCache的优化失效。 并发使用同一Socket请求A和AAAA记录,在旧版本内核上触发
CCE支持通过dnsPolicy标记每个Pod配置不同的DNS策略: None:表示空的DNS设置,这种方式一般用于想要自定义DNS配置的场景,而且,往往需要和dnsConfig配合一起使用达到自定义DNS的目的。 Default:从运行所在的节点继承名称解析配置。即容器的域名解析文件使用kub
在CCE集群中使用密钥Secret的安全配置建议 当前CCE已为secret资源配置了静态加密,用户创建的secret在CCE的集群的etcd里会被加密存储。当前secret主要有环境变量和文件挂载两种使用方式。不论使用哪种方式,CCE传递给用户的仍然是用户配置时的数据。因此建议: 用户不应在日志中对相关敏感信息进行记录;
许特权逃逸”的配置。 通过配置安全计算模式seccomp,限制容器的系统调用权限,具体配置方法可参考社区官方资料使用 Seccomp 限制容器的系统调用。 通过配置ReadOnlyRootFilesystem的配置,保护容器根文件系统。 如deployment配置如下: apiVersion:
请确保节点故障检测插件(NPD)已安装且正常运行。 登录CCE控制台,单击集群名称进入一个已有的集群。 在左侧导航栏选择“告警中心”,切换至“告警规则 > 自定义告警规则”页签,单击“创建告警规则”。 设置告警规则,在创建告警规则面板填写配置。 规则类型:选择“指标告警”,设置
若参数有多个,多个参数以换行分隔。 启动后处理 登录CCE控制台,在创建工作负载时,配置容器信息,选择“生命周期”。 在“启动后处理”页签,设置启动后处理的参数。 表3 启动后处理-参数说明 参数 说明 命令行脚本方式 在容器中执行指定的命令,配置为需要执行的命令。命令的格式为Command Args[1]
conf文件的不同写法决定了域名解析的效率,关于ndots和search两个参数机制的详情请参考工作负载DNS配置说明。 优化域名的配置 当容器需要访问某域名时,请按照以下原则进行配置,可最大程度减少域名解析次数,减少域名解析耗时。 Pod访问同命名空间的Service,优先使用<ser
1个的步长升级,实际升级过程中会换算成数字,且换算会向上取整。这个值也可以直接设置成数字。 仅Deployment、DaemonSet支持配置。 最大无效实例数(maxUnavailable) 与spec.replicas相比,可以有多少个Pod失效,也就是删除的比例,默认值是25%。
为负载均衡类型的Service配置pass-through能力 操作场景 对于负载均衡类型的Service,负责集群内部流量转发的kube-proxy组件默认会将Service绑定的ELB IP地址配置到节点本地的转发规则中,从集群内部访问ELB的地址时,流量就会直接在集群内部转发,而不会经过ELB转发。
调整CoreDNS部署状态 CCE集群默认安装CoreDNS插件,CoreDNS应用默认情况下与您的业务容器运行在同样的集群节点上,部署时的注意事项如下: 合理调整CoreDNS副本数 合理分配CoreDNS所在位置 使用自定义参数完成CoreDNS隔离部署 基于HPA自动扩容CoreDNS
health-check-option 表20 ELB健康检查配置选项。 v1.9及以上 kubernetes.io/elb.health-check-options 表21 ELB健康检查配置选项。支持Service每个端口单独配置,且可以只配置部分端口。 说明: 不允许同时配置 "kubernetes.io/elb
如果不配置集群管理权限,是否可以使用kubectl命令呢? 使用kubectl命令无需经过IAM认证,因此理论上不配置集群管理(IAM)权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件(kubeconfig),以下场景认证文件传递过程中
Status > Rules”页面中找到配置的PrometheusRules。 如何通过PrometheusRules配置告警规则 通过配置PrometheusRules的CR资源来创建普罗的告警规则。以集群CPU使用率告警为例创建告警配置模板,可以参考:https://prometheus
过。容器运行时如Docker和containerd都提供了默认的Seccomp配置,这些配置适用于大多数通用工作负载。 在Kubernetes中,您可以为容器配置Seccomp策略以使用默认的安全配置。以下是如何在不同版本的Kubernetes中设置Seccomp的示例: 对于Kubernetes
package路径。 安装Packer 手动下载并安装HashiCorp Packer,建议参考官方指导执行。 Packer版本要求:packer = 1.10.0 以CentOS 7执行机为例,执行如下命令自动安装packer(以官方指导为准): # 配置Packer的yum源后安装Packer
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
