检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用Prometheus监控多个集群 应用场景 通常情况下,用户的集群数量不止一个,例如生产集群、测试集群、开发集群等。如果在每个集群安装Prometheus监控集群里的业务各项指标的话,很大程度上提高了维护成本和资源成本,同时数据也不方便汇聚到一块查看,这时候可以通过部署一套P
为ELB Ingress配置多个监听端口 Ingress支持配置自定义监听端口,可为同一个服务配置HTTP和HTTPS协议的监听器,例如一个服务可以同时暴露HTTP协议的80端口和HTTPS的443端口对外提供访问。 前提条件 已创建一个CCE Standard或CCE Turbo集群,且集群版本满足以下要求:
节点访问(通过节点私有IP) 可以通过“节点IP:节点端口”的形式访问工作负载。若该节点绑定了弹性IP,则外网就可以访问该工作负载。 容器端口:指容器中工作负载启动监听的端口。端口根据每个业务的不同而不同,一般在容器镜像中已指定。 服务端口:指该容器工作负载发布为服务后,所设定的服务端口号,请填写1-65535之间的整数值。
target_service_port 是 String spec.ports添加健康检查的目标端口,由协议、端口号组成,如:TCP:80 monitor_port 否 String 重新指定的健康检查端口,不指定时默认使用业务端口。 说明: 请确保该端口在Pod所在节点已被监听,否则会影响健康检查结果。
案如下: 方案一:您可以通过指定kubectl的“--kubeconfig”参数来选择每个集群所使用的kubeconfig配置文件,并可使用alias别名的方式来简化命令。 方案二:将多个kubeconfig文件中的集群、用户和凭证合并成一个配置文件,并使用“kubectl config
CCE节点上监听的端口列表 表1 Node节点监听端口 目的端口 协议 端口说明 10248 TCP kubelet健康检查端口 10250 TCP kubelet服务端口,提供节点上工作负载的监控信息和容器的访问通道 10255 TCP kubelet只读端口,提供节点上工作负载的监控信息
端口范围配置 Nodeport类型服务端口范围 service的NodePort模式下能够使用的主机端口号范围,默认是30000-32767 参数名 取值范围 默认值 是否允许修改 作用范围 service-node-port-range 20106-32767 30000-32767
如果不配置集群管理权限的情况下,是否可以使用API呢? CCE提供的API可以分为云服务接口和集群接口: 云服务接口:支持操作云服务层面的基础设施(如创建节点),也可以调用集群层面的资源(如创建工作负载)。 使用云服务接口时,必须配置集群管理(IAM)权限。 集群接口:直接通过Kubernetes原生API
Ingress支持的Service类型。 已准备可信的证书,您可以从证书提供商处获取证书。操作详情请参见购买SSL证书。 使用TLS类型的密钥证书配置SNI 您可以使用以下方式使用TLS类型的密钥证书配置SNI。 当使用HTTPS协议时,才支持配置SNI。 用于SNI的证书需要指定域名,每个证书只能指定一个域名。支持泛域名证书。
如果不配置集群管理权限,是否可以使用kubectl命令呢? 使用kubectl命令无需经过IAM认证,因此理论上不配置集群管理(IAM)权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件(kubeconfig),以下场景认证文件传递过程中
CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。 服务器证书:选择一个服务器证书作为默认
Container里产生的数据可以被主容器使用到。 Init Container可以在多种K8s资源里被使用到如Deployment、DaemonSet、Job等,但归根结底都是在Pod启动时,在主容器启动前执行,做初始化工作。 使用场景 部署服务时需要做一些准备工作,在运行服务的Pod中使用一个Init
CCE集群节点中安装kubelet的端口主要有哪些? CCE集群节点中安装kubelet的端口主要有如下几个: 10250 –port:kubelet服务与API Server通信的端口。 10248 –healthz-port:健康检查服务的端口。 10255 –read-only-port:只读端口,用于对外提供监控指标。
在创建服务界面,访问类型选择“节点访问”,在端口配置中,容器端口和服务端口都设置为8081,单击“确定”。该服务会自动生成节点访问端口,自动生成的节点端口位置请参见图2,本示例中节点访问端口为30327。您可以通过集群任一节点的弹性公网IP和端口号访问该工作负载。 图1 创建节点访问类型Service
在CCE中,容器部署要实现高可用,可参考如下几点: 集群选择3个控制节点的高可用模式。 创建节点选择在不同的可用区,在多个可用区(AZ)多个节点的情况下,根据自身业务需求合理的配置自定义调度策略,可达到资源分配的最大化。 创建多个节点池,不同节点池部署在不同可用区,通过节点池扩展节点。 工作负载创建时设置实例数需大于2个。
cloudflare.docker.com,端口为https默认端口443。 在需要下载第三方镜像的节点上加载第三方镜像服务器的根证书。 EulerOS, CentOS节点执行如下命令,{server_url}:{server_port}需替换成步骤1中地址和端口,如 production.cloudflare
协议:支持选择TCP协议或UDP协议。 容器端口:工作负载程序实际监听的端口,需用户确定。例如nginx默认使用80端口。 服务端口:Service使用的端口。本例中选择“区间端口监听”,可以同时监听指定端口号范围内的端口,将这些端口收到的请求都转发到对应的后端服务。端口范围取值为1-65535。
此配置由集群的service-node-port-range配置项确定范围,建议配置在30000-32767之间 端口号小于20106会和CCE组件的健康检查端口冲突,引发集群不可用 端口号高于32767会和net.ipv4.ip_local_port_range范围冲突,影响性能 业务端口 service服务暴露的端口
由于每一个TLS密钥对应ELB的一个证书,且密钥内容相同,ELB证书信息的获取是使用CCE委托权限,获取不受命名空间约束。因此可以通过修改ingress1的证书来源为服务器证书,并配置证书为TLS密钥对应的ELB证书,在ingress2的配置修改页面可以看到实际生效的服务器证书。 登录CCE控制台,单击集群名称进入集群。
<containername> -- bash port-forward* 转发一个或多个本地端口至一个Pod。 例如: 侦听本地端口5000并转发到<my-deployment>创建的Pod里的端口6000: kubectl port-forward deploy/my-deployment