检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用用户进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使
如果节点中的vdb盘被删除,可参考此章节内容恢复节点。 排查项十:排查Docker服务是否正常 执行以下命令确认docker服务是否正在运行: systemctl status docker 若执行失败或服务状态非active,请确认docker运行失败原因,必要时可提交工单联系技术支持。 执行以下命令检查当前节点上所有容器数量:
create secret docker-registry myregistrykey -n default --docker-server=DOCKER_REGISTRY_SERVER --docker-username=DOCKER_USER --docker-password=DOCKER_PASSWORD
default.svc.cluster.local cache 30 errors health {$POD_IP}:8080 kubernetes cluster.local in-addr.arpa ip6.arpa { pods insecure
镜像CMD 容器运行命令 容器运行参数 最终执行 [touch] [/root/test] 未设置 未设置 [touch /root/test] [touch] [/root/test] [mkdir] 未设置 [mkdir] [touch] [/root/test] 未设置 [/opt/test]
现不同容器间的存储共享。 存储卷的基本使用原则如下: 一个Pod可以挂载多个Volume。虽然单Pod可以挂载多个Volume,但是并不建议给一个Pod挂载过多卷。 一个Pod可以挂载多种类型的Volume。 每个被Pod挂载的Volume卷,可以在不同的容器间共享。 Kuber
Rootfs为Device Mapper且容器引擎为Docker时支持自定义Pod容器空间,默认值为10G。 Rootfs为OverlayFS时不支持自定义Pod容器空间。 EulerOS 2.3 Device Mapper 仅容器引擎为Docker时支持自定义Pod容器空间,默认值为10G。 EulerOS
现业务系统零中断。 图1 集群高可用 高安全:私有集群,完全由用户掌控,并深度整合IAM和Kubernetes RBAC能力,支持用户在界面为子用户设置不同的RBAC权限。 提供安全运行时,为每个容器(准确地说是Pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。
将USER指令添加到Dockerfiles中,并以非root用户运行 通过在容器构建和部署过程中设置正确的用户和权限,可以显著提高容器的安全性。这不仅有助于防止潜在的恶意活动,也是遵循最小权限原则的体现。 在Dockerfile中设置USER指令,可以确保所有随后的命令都以非root用户身份执行,这是标准的安全实践。
单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。 双向认证:双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥
做修改会被CCE侧重置。 不建议修改,请自行恢复。 通过ELB的控制台修改CCE创建的监听器后端服务器组,添加、删除后端服务器 导致Service/Ingress访问不通。 在集群升级等需要重启控制节点的场景,所做修改会被CCE侧重置: 用户删除的后端服务器会恢复 用户添加的后端服务器会被移除
服务概述 直接访问Pod的问题 Pod创建完成后,如何访问Pod呢?直接访问Pod会有如下几个问题: Pod会随时被Deployment这样的控制器删除重建,那访问Pod的结果就会变得不可预知。 Pod的IP地址是在Pod启动后才被分配,在启动前并不知道Pod的IP地址。 应用往
fi done 执行保存好的脚本,查看输出。 如上图所示,则为/root/foo和/root/bar这两个文件夹的挂载点存在问题。 执行以下命令,查看卡死的挂载点。 mount -n | grep /root/foo 一般来说,此类卡死的挂载点表示已经没有业务使用,请您确认该
收集容器日志 通过云原生日志采集插件采集容器日志 通过ICAgent采集容器日志(不推荐) 父主题: 日志中心
通过模板部署应用 在CCE控制台上,您可以上传Helm模板包,然后在控制台安装部署,并对部署的实例进行管理。 CCE从2022年9月开始,各region将逐步切换至Helm v3。模板管理不再支持Helm v2版本的模板,若您在短期内不能切换至Helm v3,可通过Helm v2 客户端在后台管理v2版本的模板。
定弹性IP才能使用。若集群没有绑定弹性IP,需绑定弹性IP。 用户名:默认为root,不可修改。 密码:登录web-terminal的密码,请务必记住该密码。web-terminal插件能够对CCE集群进行管理,请用户妥善保管好登录密码,避免密码泄漏造成损失。 确认密码:重新准确输入该密码。
将需要修改的配置设置为环境变量。 开机运行脚本与应用实际需求直接相关,每个应用所写的开机脚本会有所区别。请根据实际业务需求来写该脚本。 操作步骤 以root用户登录docker所在的机器。 执行如下命令,切换到用于存放该应用的目录。 cd apptest 编写脚本文件,脚本文件名称和内容会根据应用的不
配置Gitlab项目 获取源码到本地。本实践中将使用一个Java示例。 在Gitlab上创建ccedemo项目组。 在ccedemo项目组中添加java-demo项目。 上传项目代码至本地Gitlab仓库。 cd ~/java-demo-main //目录地址按实际情况 git
Ocean插件,详情请参见在Docker中下载并运行Jenkins。 准备工作 在创建容器工作负载前,您需要购买一个可用集群(集群至少包含1个4核8G的节点,避免资源不足),详情请参照购买CCE集群创建。 本实践需要使用Docker in Docker场景,即在容器中运行Docker命令,节点需要选择Docker容器引擎。
服务(Service) 服务概述 集群内访问(ClusterIP) 节点访问(NodePort) 负载均衡(LoadBalancer) DNAT网关(DNAT) Headless Service 父主题: 网络
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
