检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
及时升级集群中的CoreDNS版本 CoreDNS功能较为单一,对不同的Kubernetes版本也实现了较好的兼容性,CCE会定期同步社区bug,升级CoreDNS插件的版本,建议客户定期升级集群的CoreDNS版本。CCE的插件管理中心提供了CoreDNS的安装及升级功能。您可
验服务端的合法性:服务端证书是否被客户端信任的CA所签发,且证书中的SAN是否与客户端实际访问的IP地址或DNS域名匹配。 当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时,您可以将客户端可直接访问的IP地址或者DNS域名签入集群服务端证书,以支持客户端开启双向认证
1; } Nginx Ingress中,gRPC服务只运行在HTTPS端口(默认443)上,因此在生产环境中,需要域名和对应的SSL证书。本示例使用 grpc.example.com和自签SSL证书。 步骤1:创建SSL证书 复制以下内容并保存至openssl.cnf文件中。 [req]
发布概述 应用现状 应用程序升级面临最大挑战是新旧业务切换,将软件从测试的最后阶段带到生产环境,同时要保证系统不间断提供服务。如果直接将某版本上线发布给全部用户,一旦遇到线上事故(或BUG),对用户的影响极大,解决问题周期较长,甚至有时不得不回滚到前一版本,严重影响了用户体验。 解决方案
CCE默认不开启iptables防火墙,开启后可能造成网络不通 说明: 不建议开启iptables防火墙。如必须启动iptables防火墙,请在测试环境中确认/etc/sysconfig/iptables和/etc/sysconfig/ip6tables中配置的规则是否会对网络连通性造成影响。
集群。 证书认证 系统生成:默认开启X509认证模式,X509是一种非常通用的证书格式。 自有证书:您可以将自定义证书添加到集群中,用自定义证书进行认证。 您需要分别上传自己的CA根证书、客户端证书和客户端证书私钥。 注意: 请上传小于1MB的文件,CA根证书和客户端证书上传格式支持
Jenkins则负责进行容器应用的构建和部署。并且为了保证生产环境和测试环境互不影响,该方案使用了两个独立的Kubernetes集群进行高度隔离,分别用于测试环境和生产环境。 以下是从源码编译、镜像构建、应用测试到生产上线的全流程示例: 首先在Gitlab中创建一个新的Git仓库,并将其与Jenkins进行关联。
通过curl命令测试时报错信息如下: SSL certificate problem: certificate has expired 请及时替换新证书。 客户端使用了不配套的HTTPS证书链验证ELB Ingress侧配置的HTTPS证书 通过curl命令测试时报错信息如下: SSL
检查Service参数是否填写正确。 检查转发配置的参数是否填写正确。 检查证书问题。 如果Ingress开启了HTTPS访问,还需要排除证书配置错误的问题。您可使用相同ELB创建一个HTTP协议的Ingress访问,如HTTP协议下访问正常,则说明HTTPS协议证书可能存在问题。 如果以上排查均无效果,请进行抓包分析,或提交工单寻求帮助。
nSet的操作步骤详情请参见创建守护进程集(DaemonSet)。 图1 创建守护进程集 建议您使用日常测试的镜像作为基础镜像。您可参照如下YAML部署最小应用Pod。 该测试YAML将DaemonSet部署在default命名空间下,使用ngxin:perl为基础镜像,申请10m
检查节点镜像数量异常处理 OpenKruise插件兼容性检查异常处理 Secret落盘加密特性兼容性检查异常处理 Ubuntu内核与GPU驱动兼容性提醒 排水任务检查异常处理 节点镜像层数量异常检查 检查集群是否满足滚动升级条件 轮转证书文件数量检查 Ingress与ELB配置一致性检查
检查节点是否需要迁移。 9 K8s废弃资源检查异常处理 检查集群是否存在对应版本已经废弃的资源。 10 兼容性风险检查异常处理 请您阅读版本兼容性差异,并确认不受影响。补丁升级不涉及版本兼容性差异。 11 节点上CCE Agent版本检查异常处理 检测当前节点的CCE包管理组件cce-agent是否为最新版本。
双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。 服务器证书:当监听器端口启用
Ingress的HTTPS证书 当您面临ELB Ingress的HTTPS证书即将到期或已经过期的情况时,您可以参考本文指导更新HTTPS证书,以免对您的服务造成不必要的中断。 更新ELB Ingress证书场景 更新证书场景 说明 使用ELB服务中的证书 更新HTTPS证书时,需要在
上下文cluster信息。 user String 上下文user信息。 请求示例 申请30天有效的集群访问证书 { "duration" : 30 } 响应示例 状态码: 200 表示成功获取指定集群的证书。证书文件格式参见kubernetes v1.Config结构 { "kind" : "Config"
使用Prometheus监控多个集群 应用场景 通常情况下,用户的集群数量不止一个,例如生产集群、测试集群、开发集群等。如果在每个集群安装Prometheus监控集群里的业务各项指标的话,很大程度上提高了维护成本和资源成本,同时数据也不方便汇聚到一块查看,这时候可以通过部署一套P
为负载均衡类型的Service配置服务器名称指示(SNI) SNI证书是一种扩展服务器证书,允许同一个IP地址和端口号下对外提供多个访问域名,可以根据客户端请求的不同域名来使用不同的安全证书,确保HTTPS通信的安全性。 在配置SNI时,用户需要添加绑定域名的证书,客户端会在发起
Toolkit和驱动的版本兼容性列表 在选择Nvidia驱动时,需要保证驱动版本兼容CUDA Toolkit版本,官方提供配套关系如下表。该表展示了CUDA Toolkit版本兼容的最低驱动版本,如需更精确的版本对照表,请参见CUDA Toolkit和驱动的版本兼容性列表。您可以根据应用所使用的CUDA
更新指定的集群 功能介绍 该API用于更新指定的集群。 集群管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径。 调用方法 请参见如何调用API。 URI PUT /api/v3/projects/{project_id}/c
弹性IP时无法正常使用。 证书配置:dashboard服务端使用的证书。 使用自定义证书 您需要参考样例填写pem格式的“证书文件”和“证书私钥”。 使用默认证书 dashboard默认生成的证书不合法,将影响浏览器正常访问,建议您选择手动上传合法证书,以便通过浏览器校验,保证连接的安全性。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
