检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
集群状态检查 检查项内容 集群升级后,需要检查集群状态是否为“运行中”状态。 检查步骤 系统会自动为您检查集群状态是否正常,您可以根据诊断结果前往集群列表页面进行确认。 解决方案 当集群状态异常时,请联系技术支持人员。 父主题: 升级后验证
CCE集群中工作负载镜像的拉取策略有哪些? 容器在启动运行前,需要镜像。镜像的存储位置可能会在本地,也可能会在远程镜像仓库中。 Kubernetes配置文件中的imagePullPolicy属性是用于描述镜像的拉取策略的,如下: Always:总是拉取镜像。 imagePullPolicy:
权限管控 允许使用特权容器 是否允许在pod中配置使用特权容器 参数名 取值范围 默认值 是否允许修改 作用范围 allow-privileged false:不允许 true:允许 true 允许 CCE Standard/CCE Turbo 是否允许在pod中配置使用特权容器
其中,{container_cidr}是集群的容器网络,如10.0.0.0/16。 为保证配置持久化,建议将该命令写入/etc/rc.local 启动脚本中。 CCE Turbo集群:在集群的ENI安全组中添加出方向规则。 登录VPC控制台。 在左侧导航栏中选择“访问控制>安全组”。 找到
节点paas用户登录权限检查异常处理 检查项内容 检查paas用户是否有登录权限。 解决方案 执行以下命令查看paas用户是否有登录权限: sudo grep "paas" /etc/passwd 如果paas用户权限中带有"nologin"或者"false",说明paas用户没
CCE集群内域名解析失败,如何定位处理? 排查项一:检查是否已安装CoreDNS插件 登录CCE控制台,进入集群。 在左侧导航栏中选择“插件中心”,确认异常的集群是否已安装CoreDNS插件。 如果未安装,请安装。详情请参见为什么CCE集群的容器无法通过DNS解析? 排查项二:检查CoreDNS实例是否已到达性能瓶颈
认路径与社区原生的配置差异 kubelet和runtime组件路径名称 Kubernetes原生路径 CCE节点上的路径 kubelet的启动参数root-dir /var/lib/kubelet /mnt/paas/kubernetes/kubelet kubelet的路径 /var/lib/kubelet
检查集群关键CRD "packageversions.version.cce.io"是否被删除。 检查集群关键CRD "network-attachment-definitions.k8s.cni.cncf.io"是否被删除。 解决方案 如出现该检查项异常,请联系技术支持人员。 父主题: 升级前检查异常问题排查
NGINX Ingress控制器插件升级检查异常处理 检查项内容 检查项一:检查集群中是否存在未指定Ingress类型(annotations中未添加kubernetes.io/ingress.class: nginx)的Nginx Ingress路由。 检查项二:检查Nginx
Administrator、CCE FullAccess等),也可以在CCE控制台授予某个集群的命名空间权限。但由于CCE控制台界面权限是由IAM系统策略进行判断,如果IAM子用户未配置集群管理(IAM)权限,该子用户将无法进入CCE控制台。 如果您无需使用CCE控制台,只使用kubectl命令操作
当容器无法连接互联网时,首先需要排查容器所在节点能否连接互联网。其次,需要查看容器的网络配置是否正确,例如DNS配置是否可以正常解析域名。 排查项一:节点能否连接互联网 登录ECS控制台。 查看节点对应的弹性云服务器是否已绑定弹性IP或者配置NAT网关。 如图1,若弹性IP一栏有IP地址,表示已
节点移出集群后会继续开机运行,并继续产生费用。 约束限制 若节点在CCE集群移除后重装操作系统失败,请手动完成失败节点的操作系统重装,并在重装后登录节点执行清理脚本完成CCE组件清理,具体步骤参见重装操作系统失败如何处理。 移除节点会导致与节点关联的本地持久卷类型的PVC/PV数据丢失,无法恢复,且P
期不符或安装失败。因此,不建议在huawei-npu驱动选择功能已开启的情况下,对已设置“安装后执行脚本”NPU驱动安装命令的节点池进行扩容,或在创建新节点池时设置“安装后执行脚本”用于安装NPU驱动。 安装插件 登录CCE控制台,单击集群名称进入集群,单击左侧导航栏的“插件中心”,在右侧找到CCE
节点池的状态一直处于“扩容中”,但是“操作记录”里面没有看到有对应创建节点的记录。 原因排查: 检查如下问题并修复: 租户是否欠费。 查看节点池配置的规格是否资源不足。 租户的ECS或内存配额是否不足。 如果一次创建节点太多,可能会出现租户的ECS容量校验不过的情况发生。 解决方案: 若租户已经欠费,请尽快续费。
安装前执行脚本 请输入脚本命令,命令中不能包含中文字符。脚本命令会进行Base64转码。安装前/后执行脚本统一计算字符,转码后的字符总数不能超过10240。 脚本将在Kubernetes软件安装前执行,可能导致Kubernetes软件无法正常安装,需谨慎使用。 安装后执行脚本 请输入
c的符号链接以及条件竞争漏洞,最终可能会导致容器逃逸,使攻击者能够访问宿主机的文件系统。 您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。
如果解决完某个可能原因仍未解决问题,请继续排查其他可能原因。 排查项一:安全组是否被修改 排查项二:集群是否过载 排查项三:集群Secret落盘加密使用的KMS密钥是否有效 如果以上排查思路仍无法解决您的问题,请提交工单寻找客服人员协助您进行定位。 排查项一:安全组是否被修改 登录控制台,选择“服务列表 > 网络
节点DNS检查异常处理 检查项内容 当前检查项包括以下内容: 检查当前节点DNS配置是否能正常解析OBS地址 检查当前节点是否能访问存储升级组件包的OBS地址 解决方案 节点升级过程中,需要从OBS拉取升级组件包。此项检查失败,请联系技术人员支持。 父主题: 升级前检查异常问题排查
ELB监听器访问控制配置项检查异常处理 检查项内容 检查当前集群Service是否通过annotation配置了ELB监听器的访问控制。 若有配置访问控制则检查相关配置项是否正确。 解决方案 如果配置项存在错误,请参考为负载均衡类型的Service配置黑名单/白名单访问策略进行重新配置。
为了保障您的服务权益,请您务必在维护周期结束之前升级您的Kubernetes集群,您可在集群列表页面确认集群的Kubernetes版本,以及当前是否有新的版本可供升级。主动升级集群有以下好处: 降低安全和稳定性风险:Kubernetes版本迭代过程中,会不断修复发现的安全及稳定性漏洞,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
