检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
17及以上版本集群2022年1月30日及之前创建的节点,建议您将kernel.pid_max取值修改为4194304,具体方法请参见修改节点kernel.pid_max。 对于1.17.9及以下版本集群 存量节点建议您将kernel.pid_max取值修改为4194304,具体方法请参见修改节点kernel.pid_max。
如果不配置集群管理权限的情况下,是否可以使用API呢? CCE提供的API可以分为云服务接口和集群接口: 云服务接口:支持操作云服务层面的基础设施(如创建节点),也可以调用集群层面的资源(如创建工作负载)。 使用云服务接口时,必须配置集群管理(IAM)权限。 集群接口:直接通过Kubernetes原生API
server是一个单独的二进制文件,可直接在本地工作,不依赖于分布式存储。 高效:平均每个采样点仅占 3.5 bytes,且一个Prometheus server可以处理数百万的metrics。 使用pull模式采集时间序列数据,这样不仅有利于本机测试而且可以避免有问题的服务器推送坏的metrics。
在CCE中,容器部署要实现高可用,可参考如下几点: 集群选择3个控制节点的高可用模式。 创建节点选择在不同的可用区,在多个可用区(AZ)多个节点的情况下,根据自身业务需求合理的配置自定义调度策略,可达到资源分配的最大化。 创建多个节点池,不同节点池部署在不同可用区,通过节点池扩展节点。
页,单击右上角的“日志”按钮可查看日志详情。日志约需要等待5分钟查看。 场景三:工作负载与节点时区同步 方法一:制作容器镜像时,将时区设置为CST。 方法二:若不希望修改容器,可在CCE控制台创建工作负载时,将本机的“/etc/localtime”目录挂载到容器的“/etc/localtime”目录下。
对象桶 无需填写 使用1.92版本的s3fs时自动添加该参数。支持显示桶内的多级目录对象。 表2 默认使用且可修改的挂载参数 参数 支持的对象存储类型 参数值 描述 max_write 并行文件系统 对象桶 131072 仅配置big_writes的情况下才生效,推荐使用128KB。
节点镜像推荐优先使用CCE服务维护的默认节点镜像。相关镜像经过严格的测试,且能获得最新的更新推送,具有更好的兼容性、稳定性和安全性。 如果您有特殊场景需要使用自定义镜像功能,请使用CCE提供的基础镜像来制作自定义镜像。 基础镜像中预置了节点运行依赖的组件包,该包的版本会跟着集群版本变更。对
如果您出现以上集群过载的情况,您也可以提交工单以获取技术支持。 排查项三:集群Secret落盘加密使用的KMS密钥是否有效 问题现象 当出现集群不可用,您可以查看集群事件确认异常原因。 当集群事件中存在“KMS密钥状态异常”时,您需要确认该集群对应的使用的密钥状态是否被设置为“禁用”或“计划删除”。
账户A对OBS配置桶策略和和桶ACL,授予账号B相应的权限(如读写权限)。 步骤二:创建挂载OBS的工作负载 基于账号A的OBS桶,账号B创建对应的PV和PVC,并将PVC挂载到需要的工作负载中。 步骤三:检查Pod对OBS桶的操作权限 基于桶策略,检查账号B创建的Pod实例是否具有相应权限。 步骤四:清理资源
Ingress配置URL重写规则。 对接HTTPS协议的后端服务 表4 对接HTTPS协议的后端服务注解 参数 类型 描述 nginx.ingress.kubernetes.io/backend-protocol String 参数值为'HTTPS',表示使用HTTPS协议转发请求到后端业务容器。
Turbo 监听器使用的服务器证书和SNI证书。 该字段支持填写多个证书ID,通过逗号(,)分隔。第一个证书为监听器默认服务器证书,后续的证书为SNI证书。 配置建议: 推荐使用此配置作为HTTPS监听器的证书配置 一个HTTPS监听器最多支持配置50个SNI证书,超过此值后将不生效
集群绑定或解绑弹性IP、配置或更新自定义域名时,集群服务端证书将同步签入最新的集群访问地址(包括集群绑定的弹性IP、集群配置的所有自定义域名)。 异步同步集群通常耗时约5-10min,同步结果可以在操作记录中查看“同步证书”。 对于已绑定EIP的集群,如果在使用双向认证时出现认证不通过的情况(x509: certificate
集群ID:集群资源唯一标识,创建成功后自动生成,可用于API接口调用等场景。 集群名称:集群创建成功后可以单击进行修改。 集群原名:修改集群名称后显示的集群原名,设置其他集群的名称时和该集群的原名同样不可以重复。 集群状态:当前集群的运行状态,详情请参见集群生命周期。 集群类别:显示当前集群为CCE Standard集群或CCE
GPU插件关键参数检查异常处理 检查项内容 检查CCE GPU插件中部分配置是否被侵入式修改,被侵入式修改的插件可能导致升级失败。 解决方案 使用kubectl连接集群。 执行以下命令获取插件实例详情。 kubectl get ds nvidia-driver-installer
Notification,消息通知服务)是向订阅者主动推送消息的服务,订阅者可以是电子邮件、短信、HTTP和HTTPS等。 主题是消息发布或客户端订阅通知的特定事件类型。它作为发送消息和订阅通知的信道,为发布者和订阅者提供一个可以相互交流的通道。 您需要创建一个主题,并订阅。具体方法请参见创建主题和订阅主题。
遇到了一系列的问题,而容器化部署解决了这些问题。 通过使用容器,您可以轻松打包应用程序的代码、配置和依赖关系,将其变成易于使用的构建块,从而实现环境一致性、运营效率、开发人员工作效率和版本控制等诸多目标。容器可以帮助保证应用程序快速、可靠、一致地部署,不受部署环境的影响。 表1 虚机和容器部署对比表
crt三个文件,请妥善保管您的证书,不要泄露。 如需使用证书访问集群,请参考通过X509证书连接集群。 服务端请求处理配置 表1 服务端请求处理配置参数说明 名称 参数 说明 取值 修改类API请求最大并发数 max-mutating-requests-inflight 修改类请求的最大并发数。
节点云服务器使用的系统盘,供操作系统使用。您可以设置系统盘的规格为40GiB-1024GiB之间的数值,缺省值为50GiB。 说明: 修改系统盘“规格”配置时,仅对新增节点生效,存量节点即使重置也无法同步配置。 系统盘加密:系统盘加密功能可为您的数据提供强大的安全防护,加密磁盘生成的快照及
漏洞详情 Docker、containerd或者其他基于runc的容器运行时存在安全漏洞,攻击者可以通过特定的容器镜像或者exec操作可以获取到宿主机的runc执行时的文件句柄并修改掉runc的二进制文件,从而获取到宿主机的root执行权限。 华为云容器引擎已修复runc漏洞CVE-2019-5736。
SAN通常在TLS握手阶段被用于客户端校验服务端的合法性:服务端证书是否被客户端信任的CA所签发,且证书中的SAN是否与客户端实际访问的IP地址或DNS域名匹配。 当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时,您可以将客户端可直接访问的IP地址或者DNS域名签入集群服务端证书,以支持客户端开启
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
