检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
图4 插件实例列表 单击资源列表中的coredns Deployment 进入pod列表。 图5 CoreDNS Deployment 在pod列表的操作一栏中选择“查看日志”选项,即可在AOM界面中查看coredns的日志。
云容器实例(CCI)支持的自定义策略授权项如下所示: Namespace,Namespace对象管理接口,包括Namespace对象的创建、查询、修改、删除等接口。 Pod,Pod对象管理接口,包括Pod对象的查询接口。
Secret Secret是一种加密存储的资源对象,您可以将认证信息、证书、私钥等保存在密钥中,从而解决了密码、token、密钥等敏感数据的配置问题,而不需要把这些敏感数据暴露到镜像或者Pod Spec中,只需在容器启动时以环境变量等方式加载到容器中。
Pod存储空间限制 如果没有挂载EVS等磁盘,应用数据存储在容器的rootfs,每个Pod存储空间限制如下所示: 表4 每个Pod存储空间限制 Pod类型 存储空间限制 CPU型Pod 20G GPU型Pod 20G
用户登录并验证权限 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云容器实例,进入CCI主界面,左侧导航栏中选择“工作负载 > 无状态(Deployment)”,在右侧页面单击“镜像创建”,如果可以正常创建工作负载,表示“CCI CommonOperations
= nil { return nil, err } return kubernetes.NewForConfig(config) } 代码示例 您可以前往开发体验馆Codelabs / Namespace生命周期代码示例(Go)下载相关代码,并在线调试。
Kubernetes API(废弃) 当前页面API已经废弃,请使用Kubernetes API。 Extended PersistentVolumeClaim TFJob MXJob PyTorchJob 父主题: 历史API
配置说明 您需要拥有一个主账号,仅主账号、授予了CCIFullAccess权限的用户或拥有RBAC所有权限的用户,才可以对其他用户进行授权操作。 本例将对用户和用户组授予操作不同命名空间资源的权限,在您的实际业务中,您可根据业务需求仅对用户或用户组授予不同的权限。
通过远程终端连接容器 登录云容器实例管理控制台,左侧导航栏中选择“工作负载 > 无状态(Deployment)”,在右侧页面单击要访问的工作负载。 在Pod实例下面选择“终端”页签。 当出现“#” 号时,说明已登录。 图1 容器终端 父主题: 工作负载
表5 常用操作与系统策略的关系 操作 CCIFullAccessPolicy CCIReadOnlyPolicy 创建Pod √ x 删除Pod √ x 查看Pod √ √ 查看资源使用率 √ √ 创建文件存储卷 x x 删除文件存储卷 x x 查看文件存储卷 √ √ 创建ConfigMap
Delete √ √ 删除所有Pod DELETE /api/v1/namespaces/{namespace}/pods CCI:namespaceSubResource:Delete √ √ 表3 Deployment 权限 对应API接口 授权项 IAM项目(Project
选择资源所在的区域,在左侧导航栏选择“工作负载 > Pod”。 进入Pod列表页面。 在搜索框中输入2中复制的资源名称,单击图标即可查找到该资源。 图2 查找资源 如果搜索结果为空,请在页面上方切换命名空间,并遍历所有命名空间。
1 核*时 = 1 * 3600(核*秒) 1 核*时 :1核的CPU连续跑1个小时所用的资源量 1 核*秒: 1核的CPU连续跑1秒所用的资源量 案例一: 假设用户的Deployment是2.5核的,连续运行了2个小时,那么它所消耗的资源量为:2.5 * 2 = 5(核*时)=
failed: NamespaceProjectIDMissed 查询namespace失败:ProjectID字段为空 请输入正确的ProjectID字段 400 CCI.02.400116 Get available cluster info from resourcemanager
漏洞源于kubelet的驱逐管理器(eviction manager)中没有包含对Pod中挂载的/etc/hosts文件的临时存储占用量管理,因此在特定的攻击场景下,一个挂载了/etc/hosts的Pod可以通过对该文件的大量数据写入占满节点的存储空间,从而造成节点的拒绝访问(Denial
负载中最小的资源单位就是Pod,访问负载就是访问负载中的Pod。负载中的Pod能够动态地创建和销毁,例如,扩缩容或者执行滚动升级,这时Pod的地址会发生变化,这为访问Pod带来了不便。
# 对pod中应用的监控,自定义监控 kubernetes_sd_configs: - role: pod kubeconfig_file: /etc/kube/kubeconfig # 指定deployment挂载
例如,查看北京四的namespace资源。 kubectl get ns No resources found. 您可以从回显中看到北京四没有任何命名空间,在云容器实例中创建资源首先需要创建一个命名空间,具体方法请参见Namespace和Network。
如果您使用此网段,后续可能会造成IP冲突,导致负载无法创建或服务不可用;如果您不需要通过负载访问,而是直接访问Pod,则可以使用此网段。 命名空间创建完成后,在“网络管理 > 容器网络”中可查看到VPC和子网信息。 设置子网网段。
Extended PersistentVolumeClaim 导入存储 查询导入的PVC 解绑存储 父主题: Kubernetes API(废弃)
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
