检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
10 符合上述范围的CCE集群,且配置了聚合API Server的均受影响,尤其是将CCE集群在逻辑多租场景下使用风险较高。 判断方法 对于1.23及以下版本的CCE集群、CCE Turbo集群,使用web-terminal、cloudshell或者配置kubectl连接集群,运行以下命令,确认是否运行聚合API
云产品生态集成:ELB支持与WAF等多种云产品结合使用。 配置变更热更新:配置变更完全热更新,不需要Reload进程,对长连接无损。 场景示例 某企业在华为云使用CCE集群,并通过自建Nginx Ingress Controller配置Ingress转发规则,配置域名和路径的转发策略,且对外通过DNS
集群中有节点配置超卖标签volcano.sh/oversubscription=true时,Volcano插件必须要增加oversubscription配置,否则会导致超卖节点调度异常。相关配置情况如表3所示。 标签配置需要您自行保证,调度器不会对插件和节点配置进行检查。 表3
控制全域弹性公网IP与公网间通信的速率。关于全域弹性公网更多信息,请参见全域公网带宽概述。 负载均衡配置:您可以单击负载均衡配置的“编辑”按钮配置ELB实例的参数,在弹出窗口中配置ELB实例的参数。 分配策略:可选择加权轮询算法、加权最少连接或源IP算法。 加权轮询算法:根据后端
-n "待编码内容" | base64 排查项八:容器启动命令配置有误导致 错误信息如下图所示: 解决方案: 请在工作负载详情页中,切换至“容器管理”页签,核查容器的“生命周期 > 启动命令”配置信息,确保启动命令配置正确。 排查项九:JAVA探针的版本选择latest导致 K8s事件为Created
如何获取TLS密钥证书? 场景 当您的Ingress需要使用HTTPS协议时,创建Ingress时必须配置IngressTLS或kubernetes.io/tls类型的密钥。 以创建IngressTLS密钥证书为例。如图1: 图1 创建密钥 密钥数据中上传的证书文件和私钥文件必须是配套的,不然会出现无效的情况。
调度 问题现象 如果节点存在Memory/Disk/PID Pressure的情况,节点会被添加系统污点。此时修改节点池kubelet组件配置参数或者重启节点kubelet后,该污点会被临时删除,可能会导致由于节点资源压力而触发驱逐的节点重新加入调度器计算流程中,Pod重新调度到
、view四种ClusterRole角色的权限,这四种权限是针对命名空间中所有资源进行配置,无法对命名空间中不同类别资源(如Pod、Deployment、Service等)的增删改查权限进行配置。 解决方案 Kubernetes提供一套RBAC授权机制,可以非常方便地实现命名空间内容资源的权限控制。
CCE集群权限是基于IAM系统策略和自定义策略的授权,可以通过用户组功能实现IAM用户的授权。 集群权限仅针对与集群相关的资源(如集群、节点等)有效,您必须确保同时配置了命名空间权限,才能有操作Kubernetes资源(如工作负载、Service等)的权限。 使用CCE控制台查看集群时,显示情况依赖于命名
设置指定节点调度(nodeSelector) 在Kubernetes中,选择某个节点调度最简单的方式是在工作负载中配置nodeSelector字段,您可以通过nodeSelector字段设置希望调度的目标节点标签。Kubernetes只会将Pod调度到拥有指定标签的节点上。 前提条件
19版本中存在一个安全漏洞,攻击者可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel.core_pattern内核参数,在集群中的任何节点上以root身份实现容器逃逸和执行任意代码。 该问
CCE通过多年在混合部署领域的探索和实践,围绕Volcano和Kubernetes生态,构建帮助用户提升资源利用率,实现降本增效的云原生混部解决方案。 如上图所示,混部不是简单将小集群合并成一个大集群,然后将多个不同的业务部署在同一个集群中那么简单,而需要确保用户的应用能够部署到合适的位置
13以上版本仅开放对nolock参数配置,mount操作默认使用nolock参数,无需配置。nolock=false时,使用lock参数。 everest 1.2.8及以上版本支持更多参数,默认使用如下所示配置,具体请参见设置挂载参数。此处不能配置为nolock=true,会导致挂载失败。
健康诊断。如果想体验更丰富的诊断能力,请参考开通监控中心开通。 配置定时巡检规则 在“健康诊断”页面右上角打开“定时巡检”开关,并配置定时巡检启动的时间。集群将在指定时间自动开始集群巡检任务。单个集群,每天仅支持配置一个定时巡检时间。 图1 定时巡检 手动发起诊断 当您初次使用健
为/proc/self/fd/<num>,仍存在风险,需要删除该配置后重新部署容器。 已运行的容器中,使用的镜像中WORKDIR设置为/proc/self/fd/<num>,仍存在风险,需要使用可信的镜像,重新部署容器。 已运行的容器中,容器WORKDIR未设置为/proc/self/fd/<num>,无风险。
的后端服务器。如果在更新Service时配置出现错误,导致更新后的后端服务器全部健康检查失败,在保证流量不中断的逻辑下,Service此时并不会删除原先正常的后端服务器,最终导致只有部分后端服务器更新为错误配置,其余后端服务器仍保持原先配置。 解决方法:在后端服务器配额已满的情况
有,请为弹性云服务器绑定弹性IP。 图1 节点是否已绑定弹性IP 排查项二:节点是否配置网络ACL 登录VPC控制台,单击左侧导航栏的“访问控制 > 网络ACL”。排查节点所在集群的子网是否配置了网络ACL,并限制了外部访问。 父主题: 网络异常问题排查
为准使用多可用部署均分模式。 multiAZBalance 否 bool 插件中deployment组件多可用部署是否采用均分模式,默认:false。插件Deployment实例均匀调度到当前集群下各可用区,增加新的可用区后建议扩容插件实例以实现跨可用区高可用部署;均分模式限制不
v1.19 支持v1.19版本集群 支持SFS、SFS Turbo类型存储 支持CronJob 支持配置envFrom 日志文件自动转储 屏蔽TCPSocket类型健康检查 支持配置资源标签(pod-tag) 提升了性能和可靠性 修复了一些已知问题 1.0.5 v1.13 v1.15
Ingress Controller部署在master节点,基于弹性负载均衡服务(ELB)实现流量转发,所有策略配置和转发行为均在ELB侧完成。 Nginx Ingress Controller使用Kubernetes社区维护的模板与镜像部署在集群内部,并通过NodePort对外
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
