检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在集群控制台左侧导航栏中选择“节点管理”。 创建节点池:参考创建节点池,根据自身需求配置节点池参数。 创建节点:参考创建节点,根据自身需求配置节点参数。 完成配置后,在“规格确认”页面,查看根据配置生成的API数据,您可以通过下载或复制进行使用。 图2 生成创建节点池/节点的API参数 使用生成的API数据作为
设置:AOM每分钟扫描一次日志文件,当某个日志文件超过50MB时,会立即对其转储(转储时会在该日志文件所在的目录下生成一个新的zip文件。对于一个日志文件,AOM只保留最近生成的20个zip文件,当zip文件超过20个时,时间较早的zip文件会被删除),转储完成后AOM会将该日志文件清空。 不设置
镜像版本v2 确认是否触发成功。 在“触发器”页签,单击触发器对应的行的“触发历史”,查看触发结果为“成功”。 图3 触发结果 工作负载的访问页面已变更为“Hello, SoftWare Repository for Container!”。 示例2:触发条件为“正则触发” 假设有一个欢迎页面为“Hello
ubernetes允许用户在工作负载定义中配置调度策略。例如: 将前端应用和后端应用部署在一起,有助于减少延迟,因为这两种类型的Pod可以共享相同的物理资源。 某类应用部署到某些特定的节点,确保关键应用总是运行在最优的硬件或配置上。 不同应用部署到不同的节点,有助于隔离应用,防止一个应用的问题影响到其他应用。
e设置为false, 由OCI运行时配置sysctl。 创建PodSecurityPolicy,将所有sysctl指定为false。 及时升级CRI-O版本。 相关链接 Red Hat社区漏洞公告:https://access.redhat.com/security/cve/cve-2022-0811
来的目录权限为700: 分别在/etc/bashrc文件和/etc/profile.d/目录下的所有文件中加入“umask 0077”。 执行如下命令: echo "umask 0077" >> $FILE FILE为具体的文件名,例如:echo “umask 0077” >> /etc/bashrc
service)]}{.metadata.name}{"\n"}{end}' 若返回值非空,说明存在聚合API Server。 漏洞修复方案 除了升级之外,当前没有直接可用的缓解措施。集群管理员应注意控制权限,防止非受信人员通过APIService接口部署和控制聚合API Server。
优化域名解析请求 选择合适的镜像 避免IPVS缺陷导致的DNS概率性解析超时 使用节点DNS缓存NodeLocal DNSCache 及时升级集群中的CoreDNS版本 谨慎调整VPC和虚拟机的DNS配置 在服务端,您可以合理地调整CoreDNS部署状态或者调整CoreDNS配置
请关注操作系统镜像版本说明。 在发布修复的OS镜像后,新建集群、节点默认修复该漏洞,存量节点可通过重置节点修复。若集群版本已经EOS,需先升级集群版本。 相关链接 https://nsfocusglobal.com/linux-kernel-privilege-escalatio
支持定时巡检,并可视化巡检结果 支持查看巡检历史,方便用户分析故障原因 针对故障和潜在风险,给出风险等级并提供修复建议 使用场景 运维对集群做变更前的集群状况检测,可随时主动触发健康诊断 支持运维的定时巡检,可设置定时执行时间,定期检查集群风险 集群诊断健康提炼了运维专家提供的高频故障案例,分别从如下方面进行检查:
yaml文件与您创建Pod使用的文件进行对比。 kubectl get pods/$mypod yaml > mypod.yaml $mypod为异常Pod的名称,您可以通过kubectl get pods命令查看。 mypod.yaml文件比您创建时所使用的Pod文件多几行,说明已创建的Pod符合预期。
解析外部域名很慢或超时,如何优化配置? 工作负载的容器内的resolv.conf文件,示例如下: 其中: nameserver:DNS服务器的IP地址,此处为coredns的ClusterIP。 search:域名的搜索列表,此处为Kubernetes的常用后缀。 ndots:“
CCE集群中工作负载镜像的拉取策略有哪些? 容器在启动运行前,需要镜像。镜像的存储位置可能会在本地,也可能会在远程镜像仓库中。 Kubernetes配置文件中的imagePullPolicy属性是用于描述镜像的拉取策略的,如下: Always:总是拉取镜像。 imagePullPolicy: Always
如何收集CCE集群中节点的日志? 节点日志路径 CCE节点日志文件如下表所示。 表1 节点日志列表 日志名称 路径 kubelet日志 v1.21及以上版本集群:/var/log/cce/kubernetes/kubelet.log v1.19及以下版本集群:/var/paas/
LTS AOM 1.0 LTS AOM 2.0 支持采集内容 容器标准输出 容器内日志文件 节点日志文件 Kubernetes事件 容器标准输出 容器内日志文件 容器标准输出 容器内日志文件 节点日志文件 Kubernetes事件 Kubernetes事件 优缺点说明 日志采集策略与工
skip_lint: 是否验证上传的模板 override: 是否覆盖已存在的模板 visible: 模板是否可见 content 是 File 模板包文件 响应参数 状态码: 201 表3 响应Body参数 参数 参数类型 描述 id String 模板ID name String 模板名称
集群休眠(V3) 集群 hibernateCluster 集群唤醒(V3) 集群 awakeCluster 按需集群规格变更 集群 resizeCluster 包周期集群规格变更 集群 resizePeriodCluster 修改集群配置 集群 updateConfiguration 创建节点池
按需计费的云硬盘会被删除,包周期的云硬盘不会被删除。 专属存储 磁盘 是 文件存储 SFS容量型或通用文件系统(SFS 3.0) 是 对象存储 对象桶或并行文件系统 是 极速文件存储 SFS Turbo文件系统 是 本地持久卷 节点上的逻辑卷 是否删除节点上的逻辑卷与删除集群时选择的节点操作策略有关。
像版本是否小于1.2.1 2. 使用CCE提供的nginx-ingress插件,判断插件版本号是否小于等于2.1.0 漏洞修复方案 1. 升级ingress-nginx版本至1.2.1; 2. 如果您正在运行 v1.2.0 (gcr.io/k8s-staging-ingress-
的搜索域列表将合并到基于dnsPolicy生成的域名解析文件的search字段中,并删除重复的域名。 启用hostAliases:配置Pod的本地配置文件“/etc/hosts”,可以将域名和IP地址映射加入到hosts文件中,在本地系统中实现简单的域名解析。更多使用详情请参见使用HostAliases向Pod
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
