检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
nginx-ingress插件安全漏洞预警公告(CVE-2021-25745,CVE-2021-25746) 漏洞详情 Kubernetes开源社区中披露了2个nginx-ingress漏洞: 1. 漏洞CVE-2021-25745:用户有权限可以在创建/更新ingress时,利用‘spec
工作负载异常:一直处于创建中 问题描述 节点上的工作负载一直处于创建中。 排查思路 以下排查思路根据原因的出现概率进行排序,建议您从高频率原因往低频率原因排查,从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。 排查项一:cce-pause镜像是否被误删除
插件异常问题排查 在插件安装、升级、更改配置等过程中出现异常问题时,控制台通常会提示相应的错误码。您可以根据错误码查找对应的问题,查看问题原因和解决方案。本文介绍常见错误码及其问题原因和解决方案。 资源冲突 问题现象 安装插件时,出现“内部错误”,错误码为CCE.03500001。
同步节点池 在节点池配置更新后,节点池中的已有节点无法自动同步部分配置,您可以手动同步节点配置。 批量同步过程中请勿删除或重置节点,否则可能导致节点池配置同步失败。 该操作涉及重置节点,节点上已运行的工作负载业务可能会由于单实例部署、可调度资源不足等原因产生中断,请您合理评估升级
集群成本管理最佳实践 集群成本优化的核心在于如何最大化的利用集群资源,减少集群中不必要的成本开销。同时,成本优化并不局限在降低资源规模,而是需要在集群成本优化与可靠性之间进行平衡。本文汇总了集群成本优化的最佳实践,希望可以帮助您有效地进行集群成本优化,助力企业降本增效。 使用合适的集群配置
删除/退订节点 操作场景 当您不再需要该节点继续工作时,请您在节点列表进行删除按需节点或退订包年/包月节点的标准化操作,以免带来不符合预期的效果。 在CCE集群中删除/退订节点会将该节点以及节点内运行的业务都销毁,请您在操作前提前进行排水和数据备份,确保正常业务运行不受影响。 注意事项
手动更新GPU节点驱动版本 一般情况下,您可以通过CCE AI套件(NVIDIA GPU)插件配置节点的驱动文件路径,节点重启后会自动安装驱动。您也可以手动更新驱动的方式进行更新。 手动更新GPU节点的驱动版本为临时方案,适用于需要对某个节点进行差异化配置的场景,但节点重启后将自动重置为GPU插件配置中指定的版本。
节点池亲和性调度 在替换节点池、节点滚动升级等场景中,需要使用新节点池替换旧节点池。在这些场景下,为做到业务不感知,可以在业务触发变更时,将业务的Pod软亲和调度到新的节点池上。这种软亲和调度会尽量将新创建的Pod或者重调度的Pod调度到新的节点池,如果新节点池资源不足,或者新节
使用CoreDNS实现自定义域名解析 应用现状 在使用CCE时,可能会有解析自定义内部域名的需求,例如: 存量代码配置了用固定域名调用内部其他服务,如果要切换到Kubernetes Service方式,修改配置工作量大。 在集群外自建了一个其他服务,需要将集群中的数据通过固定域名发送到这个服务。
stPath、Secret、ConfigMap等存储。 1.13及以下版本的CCE基于Kubernetes社区Flexvolume容器存储接口(storage-driver)实现了云存储服务接入能力,目前该插件已经不是官方建议的存储扩展方式,在1.15及以上版本的CCE集群中默认
设置容忍策略 容忍度(Toleration) 允许调度器将Pod调度至带有对应污点的节点上。 容忍度需要和节点污点相互配合,每个节点上都可以拥有一个或多个污点,对于未设置容忍度的Pod,调度器会根据节点上的污点效果进行选择性调度,可以用来避免Pod被分配到不合适的节点上。更多关于容忍度的使用示例请参见污点和容忍度。
持成本治理功能运行需要。 为了最小化授权,CCE服务进行了一次权限细粒度化改造,将由系统策略为粒度的权限集,修改为Action(依赖调用的接口对应一个Action)粒度的权限集。如果您已经进行了服务授权,可以一键进行权限优化,优化您授权的权限。 当您同意授权后,将在IAM中自动创
2为默认模式表示当前卡还没被用于XGPU设备分配 xgpu_device_health Gauge XGPU设备的健康情况。当前虚拟化域侧并没有提供特定的接口来检查XGPU的健康情况,所以根据XGPU设备所在物理GPU设备的健康情况反推。0表示XGPU设备为健康状态,1表示为非健康状态。 父主题:
搭建Jenkins和Gitlab环境 前提条件 创建一个新的VPC,本示例中名为vpc-X,所使用网段为192.168.0.0/16。 创建一台位于vpc-X(192.168.0.0/16网段)的ECS服务器,推荐规格为4vCPUs 16GiB,系统为Huawei Cloud EulerOS
组被删除,导致节点扩容失败。 情况二:节点池未配置自定义安全组,且集群默认安全组被删除,导致扩容失败。 解决方案: 情况一:通过更新节点池接口,更新customSecurityGroups字段中指定的安全组。详情请参见更新指定节点池。 情况二:您需要登录CCE控制台,在集群的“配
CCE容器运行时的安全配置建议 容器技术通过利用Linux的Namespace和Cgroup技术,实现了容器与宿主机之间的资源隔离与限制。Namespace提供了一种内核级别的环境隔离功能,它能够限制进程的视图,使其只能访问特定的资源集合,如文件系统、网络、进程和用户等。而Cgr
使用ASM实现灰度发布和蓝绿发布 应用服务网格(Application Service Mesh,简称ASM)是基于开源Istio推出的服务网格平台,它深度、无缝对接了企业级Kubernetes集群服务云容器引擎(CCE),在易用性、可靠性、可视化等方面进行了一系列增强,可为客户提供开箱即用的上手体验。
CCE集群IPVS转发模式下conn_reuse_mode问题说明 问题说明 对于节点内核版本小于5.9的场景,CCE集群在IPVS模式下,通过Service方式访问集群内部服务,偶现1秒延时或者后端业务升级后访问Service失败的情况,引起该问题的主要原因为社区IPVS连接复用Bug。
工作负载异常:实例驱逐异常(Evicted) 驱逐原理 当节点出现异常时,为了保证工作负载的可用性,Kubernetes会通过驱逐机制(Eviction)将该节点上的Pod调离异常节点。 目前Kubernetes中存在两种Eviction机制,分别由kube-controller-manager和kubelet实现。
在CCE集群中使用镜像服务的安全配置建议 容器镜像是防御外部攻击的第一道防线,对保障应用程序、系统乃至整个供应链的安全至关重要。不安全的镜像容易成为攻击者的突破口,导致容器逃逸到宿主机。一旦容器逃逸发生,攻击者便能访问宿主机的敏感数据,甚至利用宿主机作为跳板,进一步控制整个集群或
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
