检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Default:使用CCI提供的内网DNS,能够完成服务域名和代理其他公网域名解析,具体请参见https://support.huaweicloud.com/dns_faq/dns_faq_002.html。 ClusterFirst:使用命名空间安装的CoreDNS插件服务进行域名解析。任何与配置的集群域后缀(
如果您需要对您所拥有的云容器实例(CCI)进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CCI服务的其它功能。 默认情况下,新建的IAM用户没有任何
工作负载异常 定位思路 事件一:重新拉取镜像失败 事件二:重新启动容器失败
数据保护技术 云容器实例同时具备容器级别的启动速度和虚拟机级别的安全隔离能力,提供更好的容器体验。 原生支持Kata Container 基于Kata的内核虚拟化技术,为您提供全面的安全隔离与防护 自有硬件虚拟化加速技术,让您获得更高性能的安全容器 图1 通过Kata容器实现多租户容器强隔离
CCI支持Pod资源基础监控能力,提供CPU、内存、磁盘、网络等多种监控指标,满足对Pod资源的基本监控需求。 Pod内置系统agent,默认会以http服务的形式提供Pod和容器的监控指标。agent集成到Pod里面,会占用Pod内资源,建议您预留30MB的内存。 资源监控指标 资源基础监控包
转发流量到当前实例。 单击展开“生命周期”,配置容器的“停止前处理”,保证容器在退出过程中能够对外提供服务。 图3 配置生命周期 该配置是保证业务容器在退出过程中能够对外提供服务。 单击“下一步:访问设置”,如图4。 图4 配置访问类型及端口 单击“下一步”完成工作负载的创建。 配置最短就绪时间。
败。例如在Pod中添加了一个nginx镜像容器,启动了80端口,如果该Pod中另一个http服务的镜像也启动80端口,那么这个Pod就会出现端口冲突。 我的镜像:展示了您上传到容器镜像服务的镜像。 如您是IAM用户,您需要参考(可选)上传镜像进账号限设置后才可使用账号的私有镜像。
已通过实名认证。 单个用户的资源数量和容量配额限制 云容器实例对单个用户的资源数量和容量限定了配额,您可以登录华为云控制台,在“资源 > 我的配额>服务配额”页面,查看各项资源的总配额及使用情况。 说明: 如果当前配额不能满足业务要求,可申请扩大配额。配额的详细信息请参见关于配额。 单个CCI实例的vCPU数量
VPC(虚拟私有云)服务的所有权限 elb:*:* ELB(弹性负载均衡)服务的所有权限 sfs:*:* SFS(弹性文件服务)服务的所有权限 obs:*:* OBS(对象存储服务)服务的所有权限 evs:*:* EVS(云硬盘)服务的所有权限 aom:*:* AOM(应用运维管理)服务的所有权限
什么是服务? 服务定义了实例及访问实例的途径,如单个稳定的IP地址和相应的DNS名称。 为了解决组件间的通信问题,CCI使用服务名称代替IP地址,从而实现组件间的相互访问。在创建工作负载时会指定服务名称。 父主题: 基本概念类
resources.limits:容器使用资源的大小限制,即容器使用的资源不能超过这个限制。 resources.requests:容器申请使用资源的大小。 Nginx负载创建完后,您可以在云容器实例控制台云容器实例控制台查看到负载。 图1 nginx
常这种场景下是应用包含一个主容器和几个辅助容器(SideCar Container),如图1所示,例如主容器为一个web服务器,从一个固定目录下对外提供文件服务,而辅助的容器周期性的从外部下载文件存到这个固定目录下。 图1 Pod 实际使用中很少直接创建Pod,而是使用Kuber
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后,CT
9-11479),这些漏洞与最大分段大小(MSS)和TCP选择性确认(SACK)功能相关,攻击者可远程发送特殊构造的攻击包造成拒绝服务攻击,导致服务器不可用或崩溃。 参考链接: https://www.suse.com/support/kb/doc/?id=7023928 https://access
如果用户负载不需要k8s内部域名解析服务,但是需要使用域名解析服务,此时pod的dnsPolicy需要设置为Default。 除了以上两种配置方式用户还可以通过设置dnsPolicy为None使用自定义dns服务。yaml示例如下: apiVersion: v1 kind: Pod metadata:
策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。这是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进
云审计服务支持的CCI操作列表 CCI通过云审计服务(Cloud Trace Service,简称CTS)为您提供云服务资源的操作记录,记录内容包括您从云管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果,供您查询、审计和回溯使用。 表1 云审计服务支持的CCI操作列表
存活探针(liveness probe) 存活探针 Kubernetes提供了自愈的能力,具体就是能感知到容器崩溃,然后能够重启这个容器。但是有时候例如Java程序内存泄漏了,程序无法正常工作,但是JVM进程却是一直运行的,对于这种应用本身业务出了问题的情况,kubernetes提供了liveness
HostPath转localDir、emptyDir或flexVolume 使用场景 在使用CCE或者其他K8s集群时,可以使用HostPath。由于CCI为共享集群,未开放HostPath能力,所以当使用HostPath的Pod想通过Virtual Kubelet弹到CCI时,
过selector选择到标签“app:nginx”的Pod,目标Pod的端口为80,Service对外暴露的端口为8080。 访问服务只需要通过“服务名称:对外暴露的端口”接口,对应本例即“nginx:8080”。这样,在其他负载中,只需要通过“nginx:8080”就可以访问到“nginx”关联的Pod。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
