检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
调整CoreDNS部署状态 CCE集群默认安装CoreDNS插件,CoreDNS应用默认情况下与您的业务容器运行在同样的集群节点上,部署时的注意事项如下: 合理调整CoreDNS副本数 合理分配CoreDNS所在位置 使用自定义参数完成CoreDNS隔离部署 基于HPA自动扩容CoreDNS
监控CoreDNS运行状态 CoreDNS通过标准的Promethues接口暴露出解析结果等健康指标,发现CoreDNS服务端甚至上游DNS服务器的异常。 CoreDNS自身metrics数据接口,默认zone侦听{$POD_IP}:9153,请保持此默认值,否则普罗无法采集coredns
CCE容器网络扩展指标 插件简介 CCE容器网络扩展指标插件是一款CCE Turbo集群容器网络可观测性增强插件,能提供CCE Turbo集群容器网络相关的各项监控数据,帮助您观测各种容器网络流量以及快速发现和定位容器网络问题。插件实例仅支持部署在X86/ARM架构的HCE 2.
资源配额控制器(resource-quota-controller)配置 启用资源配额管理 是否启用资源配额管理功能 参数名 取值范围 默认值 是否允许修改 作用范围 enable-resource-quota true/false false 允许 1.21版本以上的CCE Standard/CCE
在什么场景下,容器会被重建? 问题描述 在什么场景下,容器会被重建? 可能原因 容器重建是指容器被销毁并重新创建一个新实例。容器重建可能由多种原因触发,以下是一些常见的场景: 表1 容器重建的常见场景 常见场景 说明 容器崩溃或异常终止 当运行中的容器因软件错误、资源耗尽或其他意
Secret Secret是一种加密存储的资源对象,您可以将认证信息、证书、私钥等保存在Secret中,而不需要把这些敏感数据暴露到镜像或者Pod定义中,从而更加安全和灵活。 Secret与ConfigMap非常像,都是key-value键值对形式,使用方式也相同,不同的是Sec
节点池扩容失败 排查思路 请根据节点池扩容失败的具体事件信息确定问题原因,如表1所示。 表1 节点池扩容失败 事件信息 问题原因 解决方案 ...call fsp to query keypair fail, error code : Ecs.0314, reason is : the
通过自定义域名访问集群 操作场景 主题备用名称(Subject Alternative Name,缩写SAN)允许将多种值(包括IP地址、域名等)与证书关联。SAN通常在TLS握手阶段被用于客户端校验服务端的合法性:服务端证书是否被客户端信任的CA所签发,且证书中的SAN是否与客
(停止维护)Kubernetes 1.19版本说明 云容器引擎(CCE)严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.19版本所做的变更说明。 资源变更与弃用 社区1.19 ReleaseNotes 增加对vSphere in-tree卷迁移至vSphere
更改集群节点的默认安全组 操作场景 集群在创建时可指定自定义节点安全组,方便统一管理节点的网络安全策略。对于已创建的集群,支持修改集群默认的节点安全组。 约束与限制 一个安全组关联的实例数量建议不超过1000个,否则可能引起安全组性能下降。更多关于安全组的限制请参考安全组限制。
亲和与反亲和调度 在守护进程集(DaemonSet)中讲到使用nodeSelector选择Pod要部署的节点,其实Kubernetes还支持更精细、更灵活的调度机制,那就是亲和(affinity)与反亲和(anti-affinity)调度。 Kubernetes支持节点和Pod两
Container配置 容器名称 参数名 取值范围 默认值 是否允许修改 作用范围 name 无 无 允许 - 镜像名称 参数名 取值范围 默认值 是否允许修改 作用范围 image 无 无 允许 - 更新策略 参数名 取值范围 默认值 是否允许修改 作用范围 imagePullPolicy
选择合适的镜像 Alpine容器镜像内置的musl libc库与标准的glibc存在以下差异: 3.3版本及更早版本的Alpine不支持search参数,不支持搜索域,无法完成服务发现。 并发请求/etc/resolve.conf中配置的多个DNS服务器,导致NodeLocal DNSCache的优化失效。
使用SWR企业版镜像仓库镜像 操作场景 CCE支持拉取SWR企业版镜像仓库的镜像来创建工作负载。 SWR企业版镜像仓库必须经过认证(账号密码)才能访问,而CCE中容器拉取镜像是使用密钥认证方式,这就要求在拉取镜像前先创建镜像仓库的密钥。 前提条件 使用SWR企业版镜像仓库镜像时,
runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465) 漏洞详情 业界安全研究人员披露runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。
使用注解为Pod绑定安全组 使用场景 云原生网络2.0网络模式下,Pod使用的是VPC的弹性网卡/辅助弹性网卡,可以通过配置Pod的annotation为Pod配置安全组。 支持两种方式的安全组配置: Pod的网卡使用annotation配置的安全组,对应annotation配置:yangtse
发布概述 应用现状 应用程序升级面临最大挑战是新旧业务切换,将软件从测试的最后阶段带到生产环境,同时要保证系统不间断提供服务。如果直接将某版本上线发布给全部用户,一旦遇到线上事故(或BUG),对用户的影响极大,解决问题周期较长,甚至有时不得不回滚到前一版本,严重影响了用户体验。 解决方案
为ELB Ingress配置HTTP/HTTPS头字段 HTTP头字段是指在超文本传输协议(HTTP)的请求和响应消息中的消息头部分。HTTP头部字段可以根据需要自定义,本文介绍可通过HTTP和HTTPS监听器支持的非标准头字段实现的功能特性。 配置HTTP/HTTPS头字段依赖
CCE集群弹性引擎版本发布记录 表1 v1.31集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.31.8 v1.31 支持CCE v1.31集群 1.31.1 表2 v1.30集群配套插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 1.30.46
Volcano调度器版本发布记录 表1 Volcano调度器版本记录 插件版本 支持的集群版本 更新特性 1.16.8 v1.25 v1.27 v1.28 v1.29 v1.30 v1.31 支持CCE v1.31集群 优化超节点资源调度能力 1.15.10 v1.23 v1.25
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
