检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
上不可调度的标签。以方便用户在工作负载被调度到节点上之前,对节点进行一些操作。 定时开启调度时间:若设置定时开启调度功能,在超过自定义时间后,节点将会自动开启调度。 不设置:默认情况下,将不设置超时时间,此时节点需要您前往“节点管理”界面,手动选择节点开启调度,详情请参见一键设置节点调度策略。
单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。 双向认证:双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥
在实际业务中,经常会遇到将集群稀缺资源分配给多个用户的情况,每个用户获得资源的权利都相同,但是需求数却可能不同,如何公平的将资源分配给每个用户是一项非常有意义的事情。调度层面有一种常用的方法为最大最小化公平分配算法(max-min fairness share),尽量满足用户中的最小的需求,然后将剩余
Helm v2与Helm v3的差异及适配方案 随着Helm v2 发布最终版本Helm 2.17.0,Helm v3 现在已是 Helm 开发者社区支持的唯一标准。为便于管理,建议用户尽快将模板切换至Helm v3格式。 当前社区从Helm v2演进到Helm v3,主要有以下变化:
CCE AI套件(Ascend NPU) CCE AI套件(NVIDIA GPU) 开启对分布式云支持 创建CCE Turbo集群时,可在创建集群过程中,开启对分布式云(cloudpond)支持。 开启分布式云支持后,在集群中创建的边缘节点,默认会添加以下污点和K8s标签: 污点:distribution
e的能力,PrometheusRules提供了一种用于监控和警报的规则语言,能够方便用户更好的使用Prometheus查询监控指标,配置基于PromQL的告警规则。 当前云原生监控插件仅支持开启本地数据存储时,提供PrometheusRules配置的能力。 如何配置PrometheusRules
已获取资源权限。 集群版本高于v1.17。 集群处于“运行中”状态。 选择Pod进行诊断 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“健康中心”, 单击“Pod”页签 。 在“Pod”页签界面,单击“开始诊断”,选择要进行诊断的Pod,单击“确定”开启诊断。 图1
命名空间可用于多种工作用途,满足多用户、多环境、多应用的使用需求,通过为每个命名空间配置包括CPU、内存、Pod数量等资源的额度可以有效限制资源滥用,从而保证集群的可靠性,更多信息请参见资源配额。 从1.21版本集群开始,如果在集群配置管理中开启了enable-resource-
17及以上。 使用监控中心前,用户需要使用具有admin用户组的账户完成对CCE及其依赖服务的委托授权。授权完成后,拥有CCE Administrator角色或CCE FullAccess权限的用户可进行监控中心所有操作;拥有CCE ReadOnlyAccess权限的用户可以查看所有资源信息,但是无法进行任何操作。
完整的云容器引擎使用流程包含以下步骤: 图1 CCE使用流程 注册账号并登录CCE控制台。 使用账号登录时,默认拥有所有IAM权限。如果使用IAM子用户登录,还需授予IAM用户相应的权限才能使用CCE,具体请参见权限管理。 创建集群。 部署工作负载(应用)。 在CCE集群中部署NGINX无状态工作负载 在CCE
仅CCE Turbo集群支持该配置。 是否启用容器网络全预热: 开启:开启容器网络全预热后,您的集群节点会预热申请节点规格上限的网卡数,如s7.large.2机型的节点辅助弹性网卡上限是16个,则系统会动态预热出16个辅助弹性网卡。 关闭:不启用容器网络全预热时,您可以自行定义预热参数。
AOM 服务。开启后,可选择对应的AOM实例。采集的基础指标免费,自定义指标将由AOM服务进行收费,详情请参见价格详情。对接AOM需要用户具备一定权限,目前仅华为云/华为账号,或者在admin用户组下的用户支持此操作。 公网访问 1.2.1及以上版本的插件支持开启公网访问,开启后需要选
化开关。 NPU配置 当不开启驱动选择时,无法根据用户诉求指定驱动版本,无法依靠插件进行驱动维护。如从控制台创建NPU节点,控制台会自动补充NPU驱动(用户无法指定版本和类型)安装命令,并在安装完成后自动重启节点;如通过API或其他方式创建节点则需要用户在“安装后执行脚本”中添加驱动安装命令。
挂载高危目录的情况下 ,建议使用低权限账号启动,否则可能会造成宿主机高危文件被破坏。 AOM只采集最近修改过的前20个日志文件,且默认采集两级子目录。 AOM只采集挂载路径下的“.log”、“.trace”、“.out”文本日志文件。 容器中挂载点的权限设置方法,请参见为Pod或容器配置安全性上下文。
0网络模式下,Pod使用的是VPC的弹性网卡/辅助弹性网卡,可直接绑定安全组,绑定弹性公网IP。为方便用户在CCE内直接为Pod关联安全组,CCE新增了一个名为SecurityGroup的自定义资源对象。通过SecurityGroup资源对象,用户可对工作负载实现自定义的安全隔离诉求。 使用安全组策略(Securi
您使用的账号未被授予当前操作所需的集群RBAC权限。 解决方案 使用华为云账号或者具有管理员权限的账号登录IAM管理控制台,在左侧导航栏中选择“用户”。 在IAM用户页签查找出现报错的用户名,单击用户名右侧的“授权”。 选择相应的权限后,单击“确定”,提交授权。 当前账号未被授予该操作所需的IAM权限 问题现象
数据存储(可选):在容器内挂载本地存储或云存储,不同类型的存储使用场景及挂载方式不同,详情请参见存储。 安全设置(可选):对容器权限进行设置,保护系统和其他容器不受其影响。请输入用户ID,容器将以当前用户权限运行。 容器日志(可选):容器标准输出日志将默认上报至 AOM 服务,无需独立配置。您可以手动配置日
如非必须,不建议将docker的sock文件挂载到任何容器中 容器的权限访问控制 使用容器应用时,遵循权限最小化原则,合理设置Deployment/Statefulset的securityContext: 通过配置runAsUser,指定容器使用非root用户运行。 通过配置privileged,在不需要特权的场景不建议使用特权容器。
性引擎自动缩容。 集群其它节点资源不足时将不会触发非完全空闲节点缩容。 节点开启缩容保护时将不会触发节点缩容。如需开启或关闭节点缩容保护,请前往“节点管理 > 节点”页面,单击节点操作列的“更多 > 开启/关闭节点缩容保护”按钮操作。 节点上存在指定不缩容标记的Pod时,该节点将不会被缩容。
代替。 web-terminal中kubectl具有高级别操作权限,限账号以及具有CCE Administrator权限的IAM用户安装此插件,如需收缩插件中kubectl权限,请参见收缩web-terminal权限操作。 集群必须安装CoreDNS才能使用web-terminal。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
