检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
对接容器镜像服务 本方案使用容器镜像服务(SWR)来保存通过Jenkins构建的容器镜像。 登录容器镜像服务SWR。 创建一个组织,用于管理镜像资源。具体操作步骤请参见组织管理。 获取长期有效的docker login登录指令。具体步骤请参见获取长期有效docker login指令。
swr_login sh "docker push ${image_url}" // 替换k8s资源文件中的镜像地址 sh "sed -i 's+demo01:v1+${image_url}+g' ./demo01
仅适用于Linux弹性云服务器。您可以使用远程登录工具(例如PuTTY、Xshell、SecureCRT等)登录弹性云服务器。如果普通远程连接软件无法使用,您可以使用云服务器ECS管理控制台的管理终端连接实例,查看云服务器操作界面当时的状态。 SSH方式登录包括SSH密钥和SSH密码两种
用的磁盘空间,默认占比为80%,其空间大小 = 数据盘空间 * 90% * 80% thinpool是动态挂载,在节点上使用df -h命令无法查看到,使用lsblk命令可以查看到。 图2 Device Mapper类型容器引擎空间分配 OverlayFS类型存储Rootfs 相比Device
用的磁盘空间,默认占比为80%,其空间大小 = 数据盘空间 * 90% * 80% thinpool是动态挂载,在节点上使用df -h命令无法查看到,使用lsblk命令可以查看到。 图2 Device Mapper类型容器引擎空间分配 OverlayFS类型存储Rootfs 相比Device
在左侧导航栏中选择“节点管理”。 切换至“节点”页签,选择集群中的节点,单击操作列中的“更多 > 重置节点”。 重置节点操作可能导致与节点有绑定关系的资源(本地存储,指定调度节点的负载等)无法正常使用。请谨慎操作,避免对运行中的业务造成影响。 重新配置节点参数。 如需对容器存储空间进行调整,请重点关注以下配置。
已上传Nginx镜像至容器镜像服务。为方便观测流量切分效果,Nginx镜像包含v1和v2两个版本,欢迎页分别为“Nginx-v1”和“Nginx-v2”。 资源创建方式 本文提供以下两种方式使用YAML部署Deployment和Service: 方式1:在创建无状态工作负载向导页面,单击右侧“YA
Limit时,使用之前累计的CPU配额,以达到突破CPU Limit的效果。 未开启CPU Burst时,容器可以使用的CPU配额会被限制在Limit以内,无法实现Burst。 图1 未开启CPU Burst 开启CPU Burst后,容器使用的CPU配额可以突破Limit限制,实现Burst。 图2
VPC网络模式下,当某容器A通过NodePort类型服务发布时,且服务亲和设置为节点级别(即externalTrafficPolicy为local),部署在同节点的容器B将无法通过节点IP+NodePort访问容器A。 v1.21.7及以上的集群创建的NodePort类型服务时,节点上的NodePort端口默认不
致容器逃逸,使攻击者能够访问宿主机的文件系统。 您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。 以非root用户运行 通过capa
AddonInstance的创建、更新、删除和获取。 配额管理 配额管理接口,支持查询CCE服务下资源配额。 Kubernetes原生接口 - Kubernetes原生接口,关于如何调用请参见使用Kubernetes API。 集群管理 表1 集群管理 API 说明 创建集群 创
CCE节点安全配置建议 及时跟踪处理官网发布的漏洞 节点在新的镜像发布前请参考漏洞公告,完成节点漏洞修复。 节点不暴露到公网 如非必需,节点不建议绑定EIP,以减少攻击面。 在必须使用EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。 在使用cce集
基于Cookie的流量切分,适用于灰度发布。与canary-by-header类似,该annotation用于cookie,仅支持“always”和“never”,无法自定义取值。 nginx.ingress.kubernetes.io/canary-weight 基于服务权重的流量切分,适用于蓝绿部署。表示Canary
强制多可用区部署:该策略通过Pod自身反亲和实现,并以可用区作为拓扑域,可强制将工作负载的Pod调度到不同可用区的节点上。使用该调度策略时,如果节点数小于实例数或节点资源不足,Pod将无法全部运行。 自定义亲和策略:根据Pod标签实现灵活的调度策略,支持的调度策略类型请参见表2。选择合适的策略类型后,可以添加相应的调度策略,参数详情请参见表3。
但是在某些场景下,这并不满足需求,比如有些分布式的场景,要求每个Pod都有自己单独的状态时,比如分布式数据库,每个Pod要求有单独的存储,这时Deployment无法满足业务需求。 分布式有状态应用的特点主要是应用中每个部分的角色不同(即分工不同),比如数据库有主备、Pod之间有依赖,在Kubernet
排序最低。 图1 优先级排序顺序 这里您看到Pod并没有调度到192.168.0.94这个节点上,这是因为这个节点上部署了很多其他Pod,资源使用较多,所以并没有往这个节点上调度,这也侧面说明preferredDuringSchedulingIgnoredDuringExecution是优先规则,而不是强制规则。
不同命名空间下的Ingress对接同一个监听器且使用TLS密钥类型证书时,由于命名空间隔离,后创建的Ingress可能出现无法正常显示TLS密钥对应Secret的场景。详情请参见不同命名空间下的Ingress共用监听器时如何同步生效的证书?。 当需要修改服务器证书时,需要在default命名空间下ingress1
drain 192.168.1.xx --ignore-daemonsets=true --delete-emptydir-data 参数详情请参见如何驱逐节点上的所有Pod。 预期效果: node/192.168.1.xx drained 如果有DaemonSet工作负载使用了GPU卡,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
