检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
离,如下图所示,上面定义role-example就不能访问kube-system命名空间下的资源。 图3 Role和RoleBinding作用的范围是命名空间 在上面Pod中继续访问,返回如下,说明确实没有权限。 # curl -H "Authorization: Bearer $TOKEN"
ELB监听器访问控制配置项检查异常处理 检查项内容 检查当前集群Service是否通过annotation配置了ELB监听器的访问控制。 若有配置访问控制则检查相关配置项是否正确。 解决方案 如果配置项存在错误,请参考为负载均衡类型的Service配置黑名单/白名单访问策略进行重新配置。
NGINX Ingress控制器插件升级导致集群内Nginx类型的Ingress路由访问异常 问题现象 集群中存在未指定Ingress类型(annotations中未添加kubernetes.io/ingress.class: nginx)的Nginx Ingress路由,NGINX
独享型弹性负载均衡器在监听器上默认启用“获取客户端IP”功能,无需用户手动设置。 节点访问类型Service:将容器端口映射到节点端口,将节点端口作为对外服务的访问入口。节点访问Service的客户端源IP能力与它的“服务亲和”配置相关。 当节点访问类型Service的“服务亲和”配置为“集群级别
执行以下命令,进行访问验证。 curl -H "Host: www.example.com" http://<EXTERNAL_IP> 其中,<EXTERNAL_IP>为Nginx Ingress对外暴露的IP。 预期输出: Old Nginx 步骤2:灰度发布新版本服务 设置访问新版本服
OBS相比同区域访问时延波动要更大。 约束与限制 CCE容器存储(Everest)版本要求1.2.42及以上版本。 挂载存储的节点必须能够访问OBS桶,跨区域通常使用公网或专线打通。您可以在需要使用OBS的节点上Ping OBS的Endpoint来确定是否能够访问。 仅支持PV跨
检查到您集群中Ingress配置与ELB配置不一致,请确认是否在ELB侧修改过Ingress自动创建的监听器、转发策略、转发规则、后端云服务器组、后端云服务器和证书配置。 升级后会覆盖您在ELB自行修改的内容,请整改后再进行集群升级。 解决方案 根据诊断分析中的日志排查哪些资源需要整改,常见场景是在I
监控数据上报至AOM服务。 指标上报的AOM实例:选择指标上报的AOM实例。采集的基础指标免费,自定义指标将由AOM服务进行收费,详情请参见价格详情。对接AOM需要用户具备一定权限,目前仅华为云/华为账号,或者在admin用户组下的用户支持此操作。 插件配置完成后,单击“安装”。
监听器使用的服务器证书和SNI证书。 该字段支持填写多个证书ID,通过逗号(,)分隔。第一个证书为监听器默认服务器证书,后续的证书为SNI证书。 配置建议: 推荐使用此配置作为HTTPS监听器的证书配置 一个HTTPS监听器最多支持配置50个SNI证书,超过此值后将不生效 TLS证书 监听器使用的服务器证书信息
21及以上版本的集群中会默认开启。 为了帮助用户平滑过渡,社区默认将Token有效时间延长为1年,1年后Token失效,不具备证书reload能力的client将无法访问APIServer,建议使用低版本Client的用户尽快升级至高版本,否则业务将存在故障风险。 如果用户使用版本过低的Kubern
tor的所有Pod,生成三个健康检查指标,自定义curl方式(此处curl只考虑网络连通性,不论程序返回的http code是什么,只要网络能连通就认为Pod是健康的)。若监控的容器携带test及app这两个标签,将在监控指标上携带对应label的key-value信息,否则对应label的value为“not
工作负载网络异常时,如何定位排查? 负载均衡类型Service异常问题排查 集群内部无法使用ELB地址访问负载 集群外部访问Ingress异常 CCE集群中域名解析失败 为什么访问部署的应用时浏览器返回404错误码? 为什么容器无法连接互联网? VPC的子网无法删除,怎么办? 如何修复出现故障的容器网卡?
如何确认网卡不被集群占用? 删除子网后如何删除安全组规则? 不同命名空间下的Ingress共用监听器时如何同步生效的证书? 如何确认监听器配置生效的Ingress 父主题: 网络管理
authenticatingProxy.ca Base64编码 无 允许 CCE Standard/CCE Turbo 客户端证书 认证模式为 authenticating_proxy 时,指定代理根证书签发的客户端证书 参数名 取值范围 默认值 是否允许修改 作用范围 Authentication.authenticatingProxy
集群。 证书认证 系统生成:默认开启X509认证模式,X509是一种非常通用的证书格式。 自有证书:您可以将自定义证书添加到集群中,用自定义证书进行认证。 您需要分别上传自己的CA根证书、客户端证书和客户端证书私钥。 注意: 请上传小于1MB的文件,CA根证书和客户端证书上传格式支持
myregistrykey #使用上面创建的密钥 常见问题:远程镜像仓库使用非知名或不安全的证书 从第三方仓库下载镜像时,若第三方仓库使用了非知名或者不安全的证书,节点上会拉取镜像失败,Pod事件列表中有“实例拉取镜像失败”事件,报错原因为"x509: certificate
project:项目名称。 登录管理控制台,将鼠标移至右上角您的用户名处,单击“我的凭证”。在“API凭证”的项目列表中查找当前区域对应的项目。 swr_ak:密钥的AK。 登录管理控制台,将鼠标移至右上角您的用户名处,单击“我的凭证”。在左侧导航栏中选择“访问密钥”,单击“新增访问密钥”,输入
见修改并发构建数量。 设置集群访问凭证 在Jenkins中能够识别的证书文件为PKCS#12 certificate,因此需要先将集群证书转换生成PKCS#12格式的pfx证书文件。 前往CCE控制台的“总览 > 连接信息”页面中下载集群证书,证书包含ca.crt、client.crt、client
取值范围: 不涉及 默认取值: 不涉及 maxPods Integer 参数解释: 节点最大允许创建的实例数(Pod),该数量包含系统默认实例。 该设置的目的为防止节点因管理过多实例而负载过重,请根据您的业务需要进行设置。 节点可以创建多少个Pod,受多个参数影响,具体请参见节点可创建的最大Pod数量说明。
使用location:hz请求头的请求访问服务: $ curl -H "Host: example.com" -H "location: hz" http://88.88.88.165:81/ 预期结果: $ new 多次访问,返回结果均为new。 不使用请求头的请求访问服务: $ curl -H "Host:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
