检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
无状态负载(Deployment) 无状态负载(Deployment) Pod是Kubernetes创建或部署的最小单位,但是Pod是被设计为相对短暂的一次性实体,Pod可以被驱逐(当节点资源不足时)、随着集群的节点崩溃而消失。Kubernetes提供了Controller(控制
监控CoreDNS运行状态 CoreDNS通过标准的Promethues接口暴露出解析结果等健康指标,发现CoreDNS服务端甚至上游DNS服务器的异常。 CoreDNS自身metrics数据接口,默认zone侦听{$POD_IP}:9153,请保持此默认值,否则普罗无法采集coredns
署。 优势 高效流程管理 更优的流程交互设计,脚本编写量较传统CI/CD流水线减少80%以上,让CI/CD管理更高效。 灵活的集成方式 提供丰富的接口便于与企业已有CI/CD系统进行集成,灵活适配企业的个性化诉求。 高性能 全容器化架构设计,任务调度更灵活,执行效率更高。 建议搭配使用
工作负载 工作负载概述 创建工作负载 配置工作负载 调度工作负载 登录容器实例 管理工作负载 管理自定义资源 Pod安全配置 工作负载最佳实践
权限 CCE权限概述 集群权限(IAM授权) 命名空间权限(Kubernetes RBAC授权) 示例:某部门权限设计及配置 CCE控制台的权限依赖 ServiceAccount Token安全性提升说明 系统委托说明
调度器访问kube-apiserver的QPS kube-api-qps 与kube-apiserver通信的QPS 集群规格为1000节点以下时,默认值100 集群规格为1000节点及以上时,默认值200 调度器访问kube-apiserver的突发流量上限 kube-api-burst
conf文件的不同写法决定了域名解析的效率,关于ndots和search两个参数机制的详情请参考工作负载DNS配置说明。 优化域名的配置 当容器需要访问某域名时,请按照以下原则进行配置,可最大程度减少域名解析次数,减少域名解析耗时。 Pod访问同命名空间的Service,优先使用<service-name>访问,
CCE集群节点中安装kubelet的端口主要有哪些? CCE集群节点中安装kubelet的端口主要有如下几个: 10250 –port:kubelet服务与API Server通信的端口。 10248 –healthz-port:健康检查服务的端口。 10255 –read-only-port:只读端口,用于对外提供监控指标。
CCE容器存储(FlexVolume),即storage-driver,是一款云存储驱动插件,北向遵循标准容器平台存储驱动接口。实现Kubernetes Flex Volume标准接口,提供容器使用EVS块存储、SFS文件存储、OBS 对象存储、SFS Turbo 极速文件存储的能力。通过安装
Token能够生效。若API Server返回的是cannot get path \"/api/v1/namespaces/default/pods\"",则说明没有权限访问,需要得到授权才能访问,授权机制请参见RBAC。 "kind": "PodList", "apiVersion":
name}{"\n"}{end}' 若返回值非空,说明存在聚合API Server。 漏洞修复方案 除了升级之外,当前没有直接可用的缓解措施。集群管理员应注意控制权限,防止非受信人员通过APIService接口部署和控制聚合API Server。 该漏洞已在v1.23.5-r0、v1.21
升级集群 升级集群的流程和方法 升级前须知 升级后验证 集群跨版本业务迁移 升级前检查异常问题排查 父主题: 集群
使用集群证书调用Kubernetes原生API。 例如使用curl命令调用接口查看Pod信息,如下所示: curl --cacert ./ca.crt --cert ./client.crt --key ./client.key https://192.168.0.18:5443/api/v1/name
通过“公网访问”方式访问集群,您需要在总览页中的“连接信息”版块为集群绑定公网地址,如图1所示。绑定公网集群的kube-apiserver将会暴露到互联网,存在被攻击的风险,建议对kube-apiserver所在节点的EIP配置DDoS高防服务或设置安全组规则。 图1 集群连接信息 您需要先下载k
配置工作负载 安全运行时与普通运行时 设置时区同步 设置镜像拉取策略 使用第三方镜像 使用SWR企业版镜像仓库镜像 设置容器规格 设置容器生命周期 设置容器健康检查 设置环境变量 设置性能管理配置 设置工作负载升级策略 设置容忍策略 设置标签与注解 父主题: 工作负载
Pod安全配置 PodSecurityPolicy配置 Pod Security Admission配置 父主题: 工作负载
安全 安全配置概述 CCE集群安全配置建议 CCE节点安全配置建议 CCE容器运行时的安全配置建议 在CCE集群中使用容器的安全配置建议 在CCE集群中使用镜像服务的安全配置建议 在CCE集群中使用密钥Secret的安全配置建议 在CCE集群中使用工作负载Identity的安全配置建议
在左侧导航栏中选择“配置中心”,单击“配置概览”页签。 图1 配置概览 集群信息 集群信息包括多个维度: 集群ID:集群资源唯一标识,创建成功后自动生成,可用于API接口调用等场景。 集群名称:集群创建成功后可以单击进行修改。 集群原名:修改集群名称后显示的集群原名,设置其他集群的名称时和该集群的原名同样不可以重复。
disable: false 表4 CronHPA关键字段说明 字段 说明 apiVersion API版本,固定值“autoscaling.cce.io/v2alpha1”。 kind API类型,固定值“CronHorizontalPodAutoscaler”。 metadata
Turbo 获取方法如下: 方法1:登录虚拟私有云服务的控制台界面,在虚拟私有云的详情页面查找VPC ID。 方法2:通过虚拟私有云服务的API接口查询。 配置建议: VPC在集群创建后无法修改,请对VPC下IP资源是否充足、是否计划与其他集群以及非容器业务共用VPC等因素进行评估,选择合适的VPC
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
