检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
ConfigMap和Secret是集群中创建的资源,属于比较特殊的存储类型,由Kubernetes API服务器上的tmpfs(基于RAM的文件系统)提供存储。 ConfigMap一般用于给Pod注入配置数据。 Secret一般用于给Pod传递敏感信息,例如密码。 云存储对比 对比维度 云硬盘EVS 文件存储SFS
低对主机系统配置的依赖,全局的资源调度既保证任务运行时资源量,也提高集群下整体资源利用率。 图1 CCE集群 价值 通过容器化改造,使应用部署资源成本降低,提升应用的部署效率和升级效率,可以实现升级时业务不中断以及统一的自动化运维。 优势 多种类型的容器部署 支持部署无状态工作负
模板包至本地安装,也可以选择直接在线安装。 实例(Release):实例是Helm在Kubernetes集群中安装模板包后的运行结果。一个模板包通常可以在一个集群中安装多次,每次安装都会创建一个新的实例。以MySQL模板包为例,如果您想在集群中运行两个数据库,可以安装该模板包两次
(停止维护)Kubernetes 1.9及之前版本说明 云容器引擎(CCE)严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.9及之前版本所做的变更说明。 表1 v1.9及之前版本集群说明 Kubernetes版本(CCE增强版) 版本说明 v1.9.10-r2 主要特性:
参数解释: K8S节点名称配置类型, 默认为“privateIp”。 约束限制: 配置为cceNodeName的节点, 其节点名称、K8S节点名称以及虚机名称相同。节点名称不支持修改, 并且在ECS侧修改了虚机名称,同步云服务器时,不会将修改后的虚机名称同步到节点。 配置为cceNod
容器网络带宽限制的配置建议 使用hostAliases参数配置Pod的/etc/hosts文件 容器与节点时区同步 在CCE Turbo集群中配置Pod延时启动参数 在CCE集群中使用容器的安全配置建议 在CCE集群中使用密钥Secret的安全配置建议 在CCE集群中使用工作负载Identity的安全配置建议
认调度器在调度Pod过程中,仅会检查Pod与现有集群下所有已经处于运行状态Pod的亲和性和反亲和性配置是否冲突或吻合,并不会考虑接下来可能会调度的Pod造成的影响。 Volcano提供的Task-topology算法是一种根据Job内task之间亲和性和反亲和性配置计算task优
2024-47176、CVE-2024-47177) NGINX Ingress控制器验证绕过漏洞公告(CVE-2024-7646) Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110) Linux内核权限提升漏洞公告(CVE-2024-1086)
/sys/fs/cgroup/cpuset/kubepods/pod{pod uid}/{容器id}/cpuset.cpus {pod uid}为Pod UID,可在已通过kubectl连接集群的机器上使用以下命令获取: kubectl get po {pod name} -n {namespace} -ojsonpath='{
nginx-ingress deployment安装成功,但是nginx-ingress-controller安装失败。 图1 一直处于创建中 图2 安装失败 错误显示资源不足。 添加节点资源为4U8G后,nginx-ingress安装正常。 问题原因 最初建立的集群中各节点的基本配置为2U4G,
攻击者利用runc的systemd cgroup特性进行攻击,可通过在Pod注解中注入恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload),进而在宿主机中执行任意操作。 CCE集群未使用runc的systemd cgroup特性,因此不受此漏洞影响。
vpc-X:192.168.0.0/16(安装Gitlab和Jenkins的ECS所在VPC) vpc-A:172.16.0.0/16(测试集群所在VPC) vpc-B:172.17.0.0/16(生产集群所在VPC) 弹性云服务器ECS 本示例中共有1台ECS,ECS位于vpc-X(192.168
对接GRPC协议的后端服务时,Ingress的对外协议也需要选择HTTPS,且需要开启HTTP/2。 配置GRPC协议的后端服务 您可以使用以下方式为Ingress配置GRPC协议的后端服务。 通过控制台配置 通过kubectl命令行配置 登录CCE控制台,单击集群名称进入集群。 选择左侧导航栏的“服务”,在右侧选
或者原地重启Pod中的容器等。 开源社区地址:https://github.com/openkruise/kruise 约束与限制 如果您已经在集群中部署了社区的OpenKruise,请您先将其卸载后再安装CCE提供的OpenKruise插件,否则可能会出现插件安装失败的情况。 注意事项
Kubelet、Kube-proxy 、Container Runtime等。在云容器引擎CCE中,主要采用高性能的弹性云服务器ECS或裸金属服务器BMS作为节点来构建高可用的Kubernetes集群。 CCE提供的节点相关功能包括:购买节点、纳管已有节点到集群、登录节点、节点监控、管理节点标签、同步节点信息、重置节点、删除节点、节点关机等。
符合上述范围的CCE集群,且配置了聚合API Server的均受影响,尤其是将CCE集群在逻辑多租场景下使用风险较高。 判断方法 对于1.23及以下版本的CCE集群、CCE Turbo集群,使用web-terminal、cloudshell或者配置kubectl连接集群,运行以下命令,确认是否运行聚合API Server:
节点配置一致性检查异常处理 检查项内容 在升级集群版本至v1.19及以上版本时,将对您的节点上的Kubenertes组件的配置进行检查,检查您是否后台修改过配置文件。 /opt/cloud/cce/kubernetes/kubelet/kubelet /opt/cloud/cce/
授予IAM用户相应的权限才能使用CCE,具体请参见权限管理。 创建集群。 部署工作负载(应用)。 在CCE集群中部署NGINX无状态工作负载 在CCE集群中部署WordPress有状态工作负载 在CCE集群中通过Helm模板部署应用程序 查看部署后工作负载的状态和日志信息,对工作负载进行相应的升级、伸缩和监控等。
节点安全组,名称规则默认是{集群名}-cce-node-{随机ID} 如果集群中绑定了自定义的节点安全组,请根据实际进行选择。 ICMP的全部端口 ELB后端子网网段 CCE Turbo 共享型ELB 节点安全组,名称规则默认是{集群名}-cce-node-{随机ID} 如果集群中
在安全组界面,单击操作列的“管理实例”。 在“服务器”页签,并单击“添加”。 勾选需要加入安全组的服务器,单击“确定”。您也可以通过服务器的名称、ID、私有IP地址、状态、企业项目或标签进行筛选。 通过修改左下角的单页最大显示条数,您可至多一次性添加20台服务器至安全组中。 加入新的安全组后,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
