检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
尽管Namespace和Cgroup从资源层面上实现了容器与宿主机的环境独立性,使得宿主机的资源对容器不可见,但这种隔离并没有实现真正意义上的安全隔离。由于容器共享宿主机的内核,一旦容器内部发生恶意行为或利用内核漏洞,就可能突破资源隔离,导致容器逃逸,进而威胁到宿主机及其他容器的安全。 为
对应用开发者而言,可以把Kubernetes看成一个集群操作系统。Kubernetes提供服务发现、伸缩、负载均衡、自愈甚至选举等功能,让开发者从基础设施相关配置等解脱出来。 Kubernetes可以把大量的服务器看做一台巨大的服务器,在一台大服务器上面运行应用程序。无论Kuberne
尽的场景。 解决方案 当节点已出现thinpool空间耗尽时,可将部分业务迁移至其他节点实现业务快速恢复。但对于此类问题,建议采用以下方案从根因上解决问题: 方案1: 合理规划业务分布及数据面磁盘空间,避免和减少出现业务容器数*basesize > 节点thinpool空间大小场
IP直接访问另外一个集群的Pod。 VPC网络到IDC的场景 和VPC互联场景类似,同样存在VPC里部分地址段路由到IDC,CCE集群的Pod地址就不能和这部分地址重叠。IDC里如果需要访问集群里的Pod地址,同样需要在IDC端配置到专线VBR的路由表。 父主题: 网络
CCE集群安全配置建议 从安全的角度,建议您对集群做如下配置。 使用最新版本的CCE集群 Kubernetes社区一般4个月左右发布一个大版本,CCE的版本发布频率跟随社区版本发布节奏,在社区发布Kubernetes版本后3个月左右同步发布新的CCE版本,例如Kubernetes
配置的目标数值所需的副本数量,进而调整目标资源(如Deployment)的replicas字段。 想要做到自动弹性伸缩,先决条件就是能感知到各种运行数据,例如集群节点、Pod、容器的CPU、内存使用率等等。而这些数据的监控能力Kubernetes也没有自己实现,而是通过其他项目来
/bin/sh或kubectl exec -it container_id /bin/sh df -h 回显如下,可以看到overlay容量从10G扩容到15G,说明扩容成功。 Filesystem Size Used Avail Use%
备份过程中有状态应用业务数据一致性,需要用户可通过Hooks来保证业务数据一致性,比如:同步内存数据到文件中等; 在恢复过程中,支持通过配置调整来适应迁移前后的环境差异: 应用可以从原命名空间恢复到指定的另一个命名空间中,但需要用户确认恢复应用间没有通过固定的service来访问该应用;
其中,reviews服务有3个版本: v1(1.5.1)版本会调用ratings服务,并使用1到5个黑色星形图标来显示评分信息。 v2(1.5.0)版本不会调用ratings服务。 v3(1.5.2)版本会调用ratings服务,并使用1到5个红色星形图标来显示评分信息。 为了直观的展示灰度版本之间流量切换
用户可以根据业务诉求将容器部署到合适的区域。 该功能仅CCE Turbo集群支持,且需要提前注册智能边缘小站,详情请参见在CCE Turbo集群中使用分布式云资源。 禁止集群删除 集群删除保护,防止通过控制台或API误删除集群,开启后将禁止用户从CCE侧删除或退订集群。集群创建后可前往集群配置中心修改。
节点池更新时,如果修改“同步K8s标签”及“同步污点”开关状态,需要注意以下事项: 开关状态从“同步”更改为“不同步”时,可能会出现节点池中的新旧节点标签或污点不一致的情况。当业务调度依赖节点标签或污点时,可能会出现调度失败或节点池弹性扩容能力失效。 开关状态从“不同步”更改为“同步”时: 如果在未开启同步时用户修改
参数说明 多可用区部署 优先模式:优先将插件的Deployment实例调度到不同可用区的节点上,如集群下节点不满足多可用区,插件实例将调度到单可用区下的不同节点。 强制模式:插件Deployment实例强制调度到不同可用区的节点上,每个可用区下最多运行一个实例。如集群下节点不满足多可
器直接进行网络通信。 Pod可直接使用VPC提供的负载均衡、安全组、弹性公网IP等能力。 缺点 由于容器网络基于VPC构建,每个Pod都会从VPC网段内分配IP地址,消耗VPC的地址空间,创建集群前需要合理规划好容器网段。 适用场景 性能要求高:由于云原生网络2.0直接使用VPC
参数说明 多可用区部署 优先模式:优先将插件的Deployment实例调度到不同可用区的节点上,如集群下节点不满足多可用区,插件实例将调度到单可用区下的不同节点。 均分模式:插件Deployment实例均匀调度到当前集群下各可用区,增加新的可用区后建议扩容插件实例以实现跨可用区高可用
在CCE集群中使用镜像服务的安全配置建议 容器镜像是防御外部攻击的第一道防线,对保障应用程序、系统乃至整个供应链的安全至关重要。不安全的镜像容易成为攻击者的突破口,导致容器逃逸到宿主机。一旦容器逃逸发生,攻击者便能访问宿主机的敏感数据,甚至利用宿主机作为跳板,进一步控制整个集群或租户账户。以下是一些建议,以降低这种风险。
ie等请求参数进行转发。 更新节点池时支持修改节点密码。 创建节点时支持只使用系统盘。 更新ELB Ingress时支持修改HTTP重定向到HTTPS的配置。 使用Docker容器引擎的节点池时支持自定义配置默认镜像地址。 修复部分安全问题。 v1.30.1-r2 v1.30.2
源仓库字段不能为空,如果需要将一个源仓库同步到多个目标仓库需要配置多条规则。 目标仓库名可以和源仓库名不同,此时同步功能类似于:docker pull + docker tag + docker push。 当源仓库字段中不包含tag时,表示将该仓库所有tag同步到目标仓库,此时目标仓库不能包含tag。
创建service后,如果服务亲和从集群级别切换为节点级别,连接跟踪表将不会被清理,建议用户创建service后不要修改服务亲和属性,如需修改请重新创建service。 当集群的节点子网关联了自定义路由表时,使用DNAT类型service同时需要将NAT的路由加入到自定义路由表中。 其余关
ie等请求参数进行转发。 更新节点池时支持修改节点密码。 创建节点时支持只使用系统盘。 更新ELB Ingress时支持修改HTTP重定向到HTTPS的配置。 使用Docker容器引擎的节点池时支持自定义配置默认镜像地址。 修复部分安全问题。 v1.30.1-r2 v1.30.2
参数说明 多可用区部署 优先模式:优先将插件的Deployment实例调度到不同可用区的节点上,如集群下节点不满足多可用区,插件实例将调度到单可用区下的不同节点。 均分模式:插件Deployment实例均匀调度到当前集群下各可用区,增加新的可用区后建议扩容插件实例以实现跨可用区高可用
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
