检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用本地临时卷 本地临时卷(Local Ephemeral Volume)存储在临时卷存储池,相比原生EmptyDir默认的存储介质类型性能要更好,且支持扩容。 前提条件 您已经创建好一个集群,并且在该集群中安装CSI插件(everest)。 如果您需要通过命令行创建,需要使用k
kubelet/kube-proxy v1.17.7+ kubelet/kube-proxy v1.16.11+ 建议您采取以下安全防范措施: 如果业务容器需使用主机网络模式且又监听在非安全端口上,可以通过在节点上手动添加iptables规则来缓解此漏洞。 执行以下命令,在集群中配置iptables规则,用于拒绝非本地对127
工作负载监控 如果您需要监控工作负载的资源使用情况,可以前往“监控中心 > 工作负载”页面查看。该页面提供了指定集群下所有工作负载的综合信息,以及单个工作负载的详细监控数据,包括CPU/内存使用率、网络流入/流出速率等。 功能入口 登录CCE控制台,单击集群名称进入集群详情页。
Kubeflow部署 Kubeflow的诞生背景 基于Kubernetes构建一个端到端的AI计算平台是非常复杂和繁琐的过程,它需要处理很多个环节。如图1所示,除了熟知的模型训练环节之外还包括数据收集、预处理、资源管理、特性提取、数据验证、模型的管理、模型发布、监控等环节。对于一
最大为35个,那么net.ipv4.neigh.default.gc_thresh3建议配置为4096*35=143360个。 VPC网络模式集群: net.ipv4.neigh.default.gc_thresh3 = (单节点容器个数)^2 举例:当前节点容器小网段掩码为25
node_memory_MemTotal_bytes gauge 节点内存总字节数 node_cpu_seconds_total counter 在不同模式下节点累计CPU花费的时间 container_cpu_usage_seconds_total counter 容器CPU累计使用时间 container_memory_rss
主机路径(HostPath) 主机路径(HostPath)可以将容器所在宿主机的文件目录挂载到容器指定的挂载点中,如容器需要访问/etc/hosts则可以使用HostPath映射/etc/hosts等场景。 HostPath卷存在许多安全风险,最佳做法是尽可能避免使用HostPath。
TCP:30000-32767 所有IP地址(0.0.0.0/0) 集群NodePort服务默认访问端口范围。 可修改 端口需对VPC网段、容器网段和ELB的网段放通。 UDP:30000-32767 全部 容器网段 允许集群中的容器访问节点。 不可修改 不涉及 全部 Node节点安全组 限制
olume PV的spec.flexVolume.options.volumeID。 everest.io/disk-mode 云硬盘磁盘模式,可参考FlexVolume PV的spec.flexVolume.options.disk-mode。 everest.io/disk-volume-type
定义由此存储类创建的PV是否支持动态扩容,默认为false。是否能动态扩容是由底层存储插件来实现的,这里只是一个开关。 volumeBindingMode 表示卷绑定模式,即动态创建PV的时间,分为立即创建和延迟创建。 Immediate:PVC创建后,会立即创建底层存储资源及存储卷PV,并与PVC绑定。
集群监控 当您想观测整个集群的资源使用情况和健康度时,可以在“监控中心 > 集群”页面查看,该页面提供了单个集群的监控情况,包含集群健康度、健康概况、资源消耗Top统计和数据面监控多维度的信息概况。 功能入口 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“监控中心”,单击“集群”页签。
DNS概述 CoreDNS介绍 创建集群时会安装CoreDNS插件,CoreDNS是用来做集群内部域名解析。 在kube-system命名空间下可以查看到CoreDNS的Pod。 $ kubectl get po --namespace=kube-system NAME
linux内核导致的容器逃逸漏洞公告(CVE-2022-0492) 漏洞详情 在某些场景下linux内核cgroup v1的release_agent特性存在可以被利用在容器内逃逸到OS上的安全问题,该问题已被收录为CVE-2022-0492。 表1 漏洞信息 漏洞类型 CVE-ID
节点池弹性伸缩优先级说明 前提条件 如需使用节点规格优先级功能,CCE集群弹性引擎插件版本要求为1.19.35、1.21.28、1.23.30、1.25.20及以上。其中AZ均衡分布策略在1.23.122、1.25.117、1.27.85、1.28.52及以上支持。 弹性扩容策略
dev-secret kubernetes.io/service-account-token 3 4h14m paas.elb cfe/secure-opaque 1 2d22h 利用de
步骤如下。 登录CCE控制台,单击集群名称进入集群,在左侧选择“配置中心”。 在“调度配置”页面,选择Volcano调度器找到对应的“专家模式”,单击“开始使用”。 修改Volcano调度配置。 在nodeorder插件中,添加arguments参数,配置leastrequested
工作负载异常:实例拉取镜像失败 问题定位 当工作负载状态显示“实例未就绪:Back-off pulling image "xxxxx"”,该状态下工作负载实例K8s事件名称为“实例拉取镜像失败”或“重新拉取镜像失败”。查看K8s事件的方法请参见Pod事件查看方法。 排查思路 根据
容器与节点时区同步 案例场景 场景一:容器与节点时区同步 场景二:容器、容器日志与节点时区同步 场景三:工作负载与节点时区同步 场景一:容器与节点时区同步 登录CCE控制台。 在创建工作负载基本信息页面,开启“时区同步”,即容器与节点使用相同时区。 图1 开启时区同步 登录节点进入容器查询容器时区是否与节点保持一致。
仅支持CCE Turbo集群,且集群版本为v1.23及以上。 集群中需要安装Volcano 1.9.0及以上版本的插件,且开启混合部署开关(即在专家模式中将colocation_enable设置为true)。 开启、修改或者关闭出口网络带宽保障特性,均需要保证Volcano插件处于正常运行状态。
容器网络配置 配置管理-容器网络配置 节点池Pod安全组配置 节点池中的节点上运行的 Pod 的安全组配置,可填写安全组 ID。与工作负载详情页面的安全组策略一起实现对集群下负载 Pod 网络访问控制。 参数名 取值范围 默认值 是否允许修改 作用范围 security_groups_for_nodepool
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
