检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置Gitlab项目 获取源码到本地。本实践中将使用一个Java示例。 在Gitlab上创建ccedemo项目组。 在ccedemo项目组中添加java-demo项目。 上传项目代码至本地Gitlab仓库。 cd ~/java-demo-main //目录地址按实际情况 git
搭建Jenkins和Gitlab环境 前提条件 创建一个新的VPC,本示例中名为vpc-X,所使用网段为192.168.0.0/16。 创建一台位于vpc-X(192.168.0.0/16网段)的ECS服务器,推荐规格为4vCPUs 16GiB,系统为Huawei Cloud EulerOS
、Deployment、Service等)的增删改查权限进行配置。 解决方案 Kubernetes提供一套RBAC授权机制,可以非常方便地实现命名空间内容资源的权限控制。 Role:角色,其实是定义一组对Kubernetes资源(命名空间级别)的访问规则。 RoleBinding:角色绑定,定义了用户和角色的关系。
ER)可以连接虚拟私有云(Virtual Private Cloud, VPC)或本地网络来构建中心辐射型组网,实现同区域的VPC互通,是云上大规格、高带宽、高性能的集中路由器。借助企业路由器的能力,可以实现不同VPC下CCE集群互通。 通过ER连接对端VPC,可以解决不同VPC下的集群创建容器之后
原本独立运行于单个或者多个节点的任务连接起来,实现单个任务难以完成的复杂流程编排与可视化。其作为Jenkins2.X 最核心的特性,帮助Jenkins实现从CI到CD与DevOps的转变。因此,Pipeline脚本编写是整个方案实现的关键。 Pipeline脚本大致涉及到以下概念:
使用Jenkins构建流水线。 Jenkins流水线与SWR对接,在Agent中调用docker build/login/push相关的命令,实现自动化的镜像打包、推送。 您也可以通过流水线实现Kubernetes资源(deployment/service/ingress/job等)的部署、升级等能力。 父主题:
云服务提供商)提供,不同厂商的Kubernetes集群与LoadBalancer的对接实现各不相同,例如CCE对接了ELB。这就导致了创建LoadBalancer类型的Service有不同的实现。 图5 LoadBalancer Service 下面是一个创建LoadBalanc
Mesh,简称ASM),利用开源工具和服务网格的能力实现。这三种方式分别对应本文如下内容: 使用Service实现简单的灰度发布和蓝绿发布 使用Nginx Ingress实现灰度发布和蓝绿发布 使用ASM实现灰度发布和蓝绿发布 表1 实现方式对比 实现方式 适用场景 特点 缺点 Service
物理卷写入。 条带化(striped):创建逻辑卷时指定条带化,当实际写入数据时会将连续数据分成大小相同的块,然后依次存储在多个物理卷上,实现数据的并发读写从而提高读写性能。条带化模式的存储池不支持扩容。多块存储卷才能选择条带化。 说明: 本地持久卷仅在集群版本 >= v1.21
CCE服务支持pass-through能力,在负载均衡类型的Service中配置kubernetes.io/elb.pass-through的annotation,可以实现集群内部访问Service的ELB地址时绕出集群,并通过ELB的转发最终转发到后端的Pod。 图1 pass-through访问示例 对于CCE集群:
高峰业务,又期望能根据指标弹性伸缩应对日常突发高峰业务。CCE提供CronHPA的自定义资源,实现在固定时间段对集群进行扩缩容,并且可以和HPA策略共同作用,定时调整HPA伸缩范围,实现复杂场景下的工作负载伸缩。 CronHPA支持定时调整HPA策略的最大和最小实例数,也可以直接
od权限的攻击者能够通过部署配置了gitRepo卷的Pod来执行容器外的任意命令。攻击者可以利用目标Git仓库中的钩子(hooks)目录,实现容器逃逸并执行攻击命令。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2024-10220
漏洞详情 Docker是一款开源的应用容器引擎,支持在Linux系统上创建一个容器(轻量级虚拟机)并部署和运行应用程序,以及通过配置文件实现应用程序的自动化安装、部署和升级。 Docker 19.03.15和20.10.3之前的版本存在资源管理错误漏洞,攻击者可以利用该漏洞导致dockerd守护进程崩溃。
利用Istio的virtualservice sourcelabel配置实现全链路的灰度发布 利用virtualservice的mirror配置实现流量镜像 基于istio实现dubbo3微服务治理 基于istio实现地域故障转移 基于istio实现多集群流量治理 Nginx Ingress相关 ng
云上云下同架构平台,可灵活根据流量峰值实现资源在云上云下的弹性伸缩、平滑迁移和扩容。 计算与数据分离,能力共享 通过云容器引擎,用户可以实现敏感业务数据与一般业务数据的分离,可以实现开发环境和生产环境分离,可以实现特殊计算能力与一般业务的分离,并能够实现弹性扩展和集群的统一管理,达到云上云下资源和能力的共享。
Kubernetes中实现POD水平自动伸缩的功能,即Horizontal Pod Autoscaling。 基于HPA策略的增强能力,主要面向应用资源使用率存在周期性变化的场景。 CCE自研的弹性伸缩增强能力,可实现基于指标触发或定时触发弹性伸缩。 Kubernetes中实现POD垂直自动伸缩的功能,即Vertical
容器实例提供网络地址转换(Network Address Translation)服务,SNAT功能通过绑定弹性公网IP,实现私有IP向公有IP的转换,可实现VPC内的容器实例共享弹性公网IP访问Internet。其原理如图1所示。通过NAT网关的SNAT功能,即使VPC内的容器
插件模板名称,如coredns addonTemplateType String 插件模板类型 addonTemplateLogo String 插件模板logo图片的地址 addonTemplateLabels Array of strings 插件模板所属类型 description String 插件模板描述
Ingress Controller在不同厂商之间的实现方式不同,CCE支持ELB型和Nginx型两种Ingress Controller类型: ELB Ingress Controller部署在master节点,基于弹性负载均衡服务(ELB)实现流量转发,所有策略配置和转发行为均在ELB侧完成。
gy.rollingUpdate.maxSurge和strategy.rollingUpdate.maxUnavailable参数配合,可实现负载的优雅滚动升级。 约束与限制 该特性从以下版本开始支持: v1.19集群:v1.19.16-r5及以上版本 v1.21集群:v1.21
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
