检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Admission进入稳定阶段,并移除PodSecurityPolicy PodSecurityPolicy被废弃,并提供Pod Security Admission取代,具体的迁移方法可参见从PodSecurityPolicy迁移到内置的PodSecurity准入控制器。 Ephemeral
定时任务停止一段时间后,为何无法重新启动? 创建有状态负载时,实例间发现服务是指什么? CCE容器拉取私有镜像时报错“Auth is empty” CCE集群中工作负载镜像的拉取策略有哪些? 鲲鹏集群Docker容器挂载点被卸载 下载镜像缺少层如何解决? 容器内的文件权限和用户都是问号 父主题:
检查节点操作系统内核版本是否为CCE支持的版本。 解决方案 问题场景一:节点镜像非CCE标准镜像 CCE节点运行依赖创建时的初始标准内核版本,CCE基于该内核版本做了全面的兼容性测试,非标准的内核版本可能在节点升级中因兼容性问题导致节点升级失败,详情请参见高危操作及解决方案。 当前CCE不建议该类节
节点运维 节点预留资源策略说明 默认数据盘空间分配说明 节点可创建的最大Pod数量说明 CCE节点kubelet和runtime组件路径与社区原生配置差异说明 将节点容器引擎从Docker迁移到Containerd 节点系统参数优化 配置节点故障检测策略 创建节点时执行安装前/后脚本
ingressClassResource: name: ccedemo #同一个集群中不同套Ingress Controller名称必须唯一,且不能设置为nginx和cce controllerValue: "k8s.io/ingress-nginx-demo"
Kubernetes基本对象 Pod Pod是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器(container)、存储资源(volume)、一个独立的网络IP以及管理控制容器运行方式的策略选项。 Deployment Deployment是对Pod的服务化封装。一个
容器引擎和Kubelet共享磁盘空间扩容 容器存储 Pod容器空间 即容器的basesize设置,每个Pod 占用的磁盘空间设置上限(包含容器镜像占用的空间)。 Pod容器空间(basesize)扩容 PVC 容器中挂载的存储资源。 PVC扩容 系统盘扩容 以“EulerOS 2.9”操作系统
检查节点上的Pod是否直接挂载docker/containerd.sock文件。升级过程中Docker/Containerd将会重启,宿主机sock文件发生变化,但是容器内的sock文件不会随之变化,二者不匹配,导致您的业务无法访问Docker/Containerd。Pod重建后sock文件重新挂载,可恢复正常。
为什么Pod调度不到某个节点上? 请排查节点和docker是否正常,排查方法请参见排查项七:内部组件是否正常。 如果节点和docker正常,而pod调度不到节点上,请确认pod是否做了亲和,排查方法请参见排查项三:检查工作负载的亲和性配置。 如果节点上的资源不足,导致节点调度不上,请扩容或者新增节点。
此外,Deployment、Statefulset、Service和Pod资源需满足以下条件,才能在控制台显示: Deployment和Statefulset:标签中必须至少有一个标签是以"app"为key的。 Pod:只有创建了无状态工作负载(Deployment)和有状态
模板包信息 name 参数名 取值范围 默认值 是否允许修改 作用范围 name 无 无 支持初始化时配置,不支持后续修改 - 模板名称 version 参数名 取值范围 默认值 是否允许修改 作用范围 version 无 无 上传新版本后更新 - 模板版本 description
内核版本在5.1以及以上。在标准的docker环境下,由于使用了Docker seccomp filter,默认情况下不受该漏洞影响。在Kubernetes场景下,默认禁用了seccomp filter,在内核以及权限满足时受该漏洞影响。 CCE当前不受影响 判断方法 uname
支持创建Kubernetes 1.19.10版本的CCE集群和CCE Turbo集群 云容器引擎CCE支持创建Kubernetes 1.19.10版本的CCE集群和CCE Turbo集群,您可在创建集群时选用该版本。 商用 2 CCE Turbo集群支持自定义操作系统镜像 CCE Turbo集群支持自定义操作系统镜像。
像。 crictl rmi {镜像ID} 使用docker容器引擎的节点: 查看节点上的本地镜像。 docker images 确认镜像无需使用,并通过镜像ID删除无需使用的镜像。 docker rmi {镜像ID} 请勿删除cce-pause等系统镜像,否则可能导致无法正常创建容器。
CentOS/EulerOS系统: docker节点:/usr/lib/systemd/system/docker.service containerd节点:/usr/lib/systemd/system/containerd.service Ubuntu系统: docker节点:/lib/systemd/system/docker
/etc/sysconfig/docker /etc/default/docker /etc/docker/daemon.json 如您对这些文件的某些参数进行修改,有可能会导致集群升级失败或升级之后业务出现异常。如您确认该修改对业务无影响,可单击确认后继续进行升级操作。 CCE采用标准镜像的脚
攻击者利用runc的systemd cgroup特性进行攻击,可通过在Pod注解中注入恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload),进而在宿主机中执行任意操作。 CCE集群未使用runc的systemd cgroup特性,因此不受此漏洞影响。
(nvidia.com/gpu),不支持监控CCE提供的GPU虚拟化资源。 前提条件 目标集群已创建,且集群中包含GPU节点,并已运行GPU相关业务。 在集群中安装CCE AI 套件 (NVIDIA GPU)和云原生监控插件。 CCE AI 套件 (NVIDIA GPU)是在容器
Admission进入稳定阶段,并移除PodSecurityPolicy PodSecurityPolicy被废弃,并提供Pod Security Admission取代,具体的迁移方法可参见从PodSecurityPolicy迁移到内置的PodSecurity准入控制器。 Ephemeral
相比于普通运行时,安全运行时可以让您的每个容器(准确地说是Pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。通过使用安全运行时,不同容器之间的内核、计算资源、网络都是隔离开的,保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群支持使用普通运行时
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
