检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Admission配置。 修改全局默认Pod安全策略 修改全局默认Pod安全策略前,请确保已创建CCE集群,并且通过kubectl连接集群成功。 执行如下命令: kubectl edit psp psp-global 修改所需的参数,如表1。 表1 Pod安全策略配置 配置项 描述 privileged
的服务端口号,请填写1-65535之间的整数值。 节点端口:指容器映射到节点上的端口。配置完成后,系统会在用户所在项目的所有节点上打开一个真实的端口号。访问工作负载时可以通过“节点IP:节点端口”来访问工作负载。 如无特殊需求,选择“自动生成”即可,系统会自动分配访问端口号。若选
CCE服务的集群节点操作系统配置与开源操作系统默认配置保持一致,用户在节点创建完成后应根据自身安全诉求进行安全加固。 CCE提供以下建议的加固方法: 通过“创建节点”的“安装后执行脚本”功能,在节点创建完成后,执行命令加固节点。具体操作步骤参考创建节点的“云服务器高级设置”的“安装后执行脚本”。“安装后执行脚本”的内容需由用户提供。
listen-ports)和单监听器(kubernetes.io/elb.port)配置时,多监听器优先级更高。 Ingress内配置项对多个监听器同时生效,如黑白名单配置、超时时间配置。Ingress开启HTTP/2配置时,HTTP/2仅在HTTPS端口生效。 创建Ingress。 kubectl
create namespace gitlab 通过helm安装Gitlab Runner。 helm repo add gitlab https://charts.gitlab.io helm install --namespace gitlab gitlab-runner -f values
监听器前端协议:当选择独享型负载均衡器类型时,需包含“网络型(TCP/UDP/TLS)”方可支持配置TLS协议。 图1 配置区间端口监听 配置完成后,单击“确定”。 通过kubectl命令行配置 请参见通过kubectl连接集群,使用kubectl连接集群。 创建名为“service-test
节点时钟同步服务器检查异常处理 检查项内容 检查节点时钟同步服务器ntpd或chronyd是否运行正常。 解决方案 问题场景一:ntpd运行异常 请登录该节点,执行systemctl status ntpd命令查询ntpd服务运行状态。若回显状态异常,请执行systemctl restart
集群内部无法使用ELB地址访问负载。 集群外无法访问ELB 可能是由于ELB配置异常或后端服务器存在异常,详情请参见集群外无法访问ELB。 ELB配置类 ELB配置被修改 请参见ELB配置为什么会被修改。 ELB的后端被自动删除 请参见服务发布到ELB,ELB的后端为何会被自动删除?。
Ingress支持的Service类型。 约束与限制 仅使用独享型ELB时,Ingress支持配置HTTP重定向到HTTPS。 配置HTTP重定向到HTTPS 您可以使用以下方式配置HTTP重定向到HTTPS。 通过控制台配置 通过kubectl命令行配置 登录CCE控制台,单击集群名称进入集群。 选择左侧导航栏的
集群配置概览 集群配置中心为您提供集群基础配置的概况及对应的修改入口,包含集群信息、集群配置、集群控制节点可用区和已安装插件多维度的信息概况。 功能入口 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“配置中心”,单击“配置概览”页签。 图1 配置概览 集群信息
somaxconn来增大监听队列的长度。 操作步骤 修改kubelet配置。 方式一:修改节点池kubelet配置(默认节点池不支持) 登录CCE控制台,进入集群。 单击节点池后“更多 > 配置管理”。 图1 节点池配置管理 修改kubelet配置参数,在“允许使用的不安全系统配置”中增加配置“[net.core
用监听器时如何同步生效的证书?。 当需要修改服务器证书时,需要在default命名空间下ingress1的配置中修改服务器证书,修改后ingress1和ingress2实际生效的证书都同步修改。 您可以通过执行以下命令查询实际生效的证书配置所在的Ingress: kubectl get
配置项资源名称,为资源主键,指定后不支持修改 命名空间 配置项所属命名空间 参数名 取值范围 默认值 是否允许修改 作用范围 namespace 集群中存在的命名空间 default 支持初始化时配置,不支持后续修改 - 命名空间为资源的隔离维度,一旦指定后不允许修改 配置建议: 建议按照业务、部门
定指令通知服务器退出,就会产生此错误。 TCP健康检查的机制 ELB节点根据健康检查配置,向后端服务器(IP+健康检查端口)发送TCP SYN报文。 后端服务器收到请求报文后,如果相应的端口已经被正常监听,则会返回SYN+ACK报文。 如果在超时时间内没有收到后端服务器的SYN+
仅独享型负载均衡支持HTTP和HTTPS类型的后端服务器组Pod开启慢启动功能。 仅在流量分配策略使用加权轮询算法时生效。 慢启动仅对新增后端服务器Pod生效,后端服务器组Pod首次添加后端服务器慢启动不生效。 后端服务器的慢启动结束之后,不会再次进入慢启动模式。 在健康检查开启时,后端服务器Pod在线后慢启动生效。
容器网络配置 配置管理-容器网络配置 节点池Pod安全组配置 节点池中的节点上运行的 Pod 的安全组配置,可填写安全组 ID。与工作负载详情页面的安全组策略一起实现对集群下负载 Pod 网络访问控制。 参数名 取值范围 默认值 是否允许修改 作用范围 security_groups_for_nodepool
配置管理-容器引擎配置 单容器可用数据空间 单容器可用数据空间 参数名 取值范围 默认值 是否允许修改 作用范围 devmapper-base-size 大于等于0 0 支持初始化时配置,不支持后续修改 CCE Standard/CCE Turbo 当前仅devicemapper场景支持限制,overlayfs不支持
yaml -n argo-rollouts 如果应用部署在多个集群,需要在每个目标集群都安装Argo Rollouts服务端。 在ECS服务器上安装argo-rollouts的kubectl插件。 # curl -LO https://github.com/argoproj/argo-r
是否允许修改 作用范围 event-qps 大于等于0 5 允许 CCE Standard/CCE Turbo 事件创建QPS限制,默认值5,设置为0则不做限制 配置建议: 5 允许使用的不安全系统配置 允许使用的不安全系统配置列表 参数名 取值范围 默认值 是否允许修改 作用范围
使用HTTP/HTTPS协议 配置服务器名称指示(SNI) 动态调整后端云服务器权重 跨集群访问 pass-through能力 黑名单/白名单设置 主机网络 设置超时时间 添加资源标签 使用HTTP/2 开启gzip压缩 配置ELB后端优雅退出 配置获取客户端IP 配置自定义EIP 配置区间端口监听