检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
(可选)节点上如果存在已运行的容器由第三方Pod Controller进行管理,则该节点不会被缩容。第三方Pod Controller是指除Kubernetes原生的工作负载(如Deployment、StatefulSet等)外的自定义工作负载,可通过自定义资源CRD进行创建。 节点缩容策略 表1 节点缩容策略配置
使用Volcano调度工作负载 资源利用率优化调度 针对计算资源进行优化的调度策略,可以有效减少各节点资源碎片,最大化地提高计算资源的利用率。 资源利用率优化调度 业务优先级保障调度 根据业务的重要性和优先级,设置自定义的策略对业务占用的资源进行调度,确保关键业务的资源优先级得到保障。 业务优先级保障调度
大型企业客户需要将业务同时部署在不同地域的云机房中,并能根据业务的波峰波谷进行自动弹性扩容和缩容,以节约成本。 业务上云、数据本地托管 对于金融、医疗等行业用户,由于安全合规要求,敏感数据要求存储在本地IDC中,而一般业务由于高并发、快响应等方面的特点需要部署在云上,并需要进行统一管理。 开发与部署分离 出于IP安
创建后不能删除,如需停止使用,请到费用中心执行退订操作。 其他相关云服务资源,请通过各自的控制台进行计费模式变更,详情请参考对应云服务的计费说明。 集群中的节点不支持在ECS控制台进行计费模式变更。 表1 支持变更计费模式的计费项 计费项 变更说明 集群 变更集群的计费模式。集群
指定节点调度:指定插件实例部署的节点。若不指定,将根据集群默认调度策略进行随机调度。 指定节点池调度:指定插件实例部署的节点池。若不指定,将根据集群默认调度策略进行随机调度。 自定义亲和策略:填写期望插件部署的节点标签实现更灵活的调度策略,若不填写将根据集群默认调度策略进行随机调度。 同时设置多条自定义亲和策略
登录CCE控制台,单击左侧导航栏中的“云原生成本治理”。 图1 云原生成本治理 单击“接入管理”,查看集群接入情况,并对剩余未接入集群进行接入。 图2 接入集群 选中需要接入的集群,单击“批量接入”,可批量将选中的集群进行开通。开通成功后,可以在列表中查看接入状态。集群首次接入云原生成本治理,需要等待2天时间,才可以看到相应成本数据。
做调度选择包含过滤和打分两个步骤。过滤阶段会将所有满足 Pod 调度需求的节点选出来,在打分阶段 kube-scheduler 会给每一个可调度节点进行优先级打分,最后kube-scheduler 会将 Pod 调度到得分最高的节点上,如果存在多个得分最高的节点,kube-scheduler
成本洞察”。 在洞察界面,进行成本优化分析。 图1 单集群视角的成本洞察 集群维度 集群维度是单集群视角成本洞察的总览界面,涵盖了命名空间、工作负载、节点池等维度的成本开销和资源消耗情况,帮助运维人员识别成本开销大、资源利用率低的应用。 您可以在右上角进行时间过滤。 图2 单集群视角的成本总览
subpath类型的卷实际为SFS Turbo的子目录,对该类型的PVC进行扩容仅会调整PVC声明的资源范围,并不会调整SFS Turbo资源的总容量。若SFS Turbo资源总容量不足,subpath类型卷的实际可使用的容量大小也会受限,您需要前往SFS Turbo界面进行扩容。 同理,删除subpath类型的卷也不会实际删除后端的SFS
subpath类型的卷实际为SFS Turbo的子目录,对该类型的PVC进行扩容仅会调整PVC声明的资源范围,并不会调整SFS Turbo资源的总容量。若SFS Turbo资源总容量不足,subpath类型卷的实际可使用的容量大小也会受限,您需要前往SFS Turbo界面进行扩容。 同理,删除subpath类型的卷也不会实际删除后端的SFS
说明: 开启过载防护功能不意味着绝对不会过载,极端场景如短时内请求量急剧冲高超出过载调整反应速度时,仍可能有过载现象出现,建议您针对集群访问行为进行主动管控,避免此类极端场景。 - 父主题: 配置中心
”页签。 单击节点池名称后的“更多 > 复制”。 图1 复制节点池 在弹出的“复制节点池”窗口中,可以看到复制的节点池配置,您可以根据需要进行修改,配置项详情请参见创建节点池。确定配置后单击“下一步:规格确认”。 在“规格确认”步骤中再次确认规格并单击“提交”,即可完成节点池的复制并创建新的节点池。
添加多条“必须满足”规则时,只需要满足一条规则就会进行调度。 尽量满足:即软约束,设置尽量满足的条件,对应preferredDuringSchedulingIgnoredDuringExecution。 添加多条“尽量满足”规则时,满足其中一条或者都不满足也会进行调度。 必须满足 在右侧弹出窗口中
CCE服务创建的集群没有使用聚合API。 华为云容器引擎已完成1.11以上版本Kubernetes集群的在线补丁修复,针对低于v1.10的集群(社区已不对其进行修复),已提供补丁版本进行修复,请关注升级公告,及时修复漏洞。 如果您是自己搭建Kubernetes集群,为提高集群的安全系数,建议如下,一定要关闭匿名用户访问权限。
Service的IP地址,从而访问到nginx Pod。 图1 集群内域名解析示例图 Kubernetes中的域名解析逻辑 DNS策略可以在每个pod基础上进行设置,目前,Kubernetes支持Default、ClusterFirst、ClusterFirstWithHostNet和None四种
点)。 使用集群接口时,无需配置集群管理(IAM)权限,仅需在调用集群接口时带上集群证书。但是,集群证书需要有集群管理(IAM)权限的用户进行下载,在证书传递过程中可能存在泄露风险,应在实际使用中注意。 父主题: 权限
其他更高版本集群 如果升级前集群已开启Secret落盘加密特性,则目标集群的版本同样需要支持Secret落盘加密特性,您需要选择满足条件的版本进行升级。 父主题: 升级前检查异常问题排查
如果没有使用主机网络并且容器内进程不以root用户(UID为0)运行,则不涉及该漏洞。 漏洞修复方案 建议使用最小权限运行容器,对于不信任的容器进行如下限制: 禁止使用主机网络; 禁止容器内的进程以root用户运行。 相关链接 containerd-shim API exposed to
3版本的OpenKruise插件时,kruise-daemon无法在使用docker容器引擎的节点上运行,请使用containerd容器引擎。 您可以选择以下方案之一进行解决: 方案一:关闭OpenKruise插件的kruise-daemon配置,然后重试集群升级。 方案二:将集群中运行时为docker的节
亲和时,在调度层将业务的Pod软调度到指定节点上。 调度优先级介绍 节点池软亲和调度,是通过节点池上的标签(Label)进行软亲和,具体是通过给每一个节点进行打分的机制来排序筛选最优节点。 原则:尽可能把Pod调度到带有相关标签的节点上。 打分公式如下: score = weight
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
