检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
以下排查顺序遵从由外到内的规则: 检查域名解析或安全组规则是否正常,排除集群外部可能存在的问题。 执行以下命令检查域名在权威DNS的解析是否生效。
14 节点磁盘检查异常处理 检查节点关键数据盘使用量是否满足升级要求 检查/tmp目录是否存在500MB可用空间 15 节点DNS检查异常处理 检查当前节点DNS配置是否能正常解析OBS地址 检查当前节点是否能访问存储升级组件包的OBS地址 16 节点关键目录文件权限检查异常处理
监听器配置: SSL解析方式:当监听器端口启用HTTPS时可选择SSL解析方式。v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。 单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。
iptables与IPVS如何选择 kube-proxy是Kubernetes集群的关键组件,负责Service和其后端容器Pod之间进行负载均衡转发。 CCE当前支持iptables和IPVS两种服务转发模式,各有优缺点。 特性差异 iptables IPVS 定位 成熟稳定的kube-proxy
解析外部域名很慢或超时,如何优化配置? 存储管理 无法使用kubectl命令删除PV或PVC 如何扩容容器的存储空间? API&kubectl kubectl使用报错:Error from server (Forbidden) 镜像仓库 如何制作Docker镜像?
监听器配置: SSL解析方式:当监听器端口启用HTTPS时可选择SSL解析方式。v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。 单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。
云上内网使用,云解析服务DNS支持配置集群弹性IP与自定义域名的映射关系。后续更新弹性IP可以继续使用双向认证+自定义域名访问集群,无需重新下载kubeconfig.json配置文件。 自建DNS服务器,自行添加A记录。 前提条件 已创建一个v1.19及以上版本的集群。
选择“网络>虚拟私有云 VPC”。 单击“创建虚拟私有云”。 根据界面提示配置虚拟私有云和子网参数,必填参数说明请参见表1和表2。其他参数的具体说明请参见创建虚拟私有云和子网。 子网配置时,请务必勾选“开启IPv6”,将自动为子网分配IPv6网段。该功能一旦开启,将不能关闭。
Headless Service: 访问Headless Service时,DNS查询会如实的返回每个真实的EndPoint(Pod的IP地址)。对应到每一个EndPoints,即每一个Pod,都会有对应的DNS域名;这样Pod之间就可以互相访问,达到实例间发现和访问的效果。
表8 Node节点安全组出方向规则最小范围 端口 放通地址段 说明 UDP:53 子网的DNS服务器 用于域名解析。 UDP:5353 容器网段 用于CoreDNS域名解析。 UDP:4789(仅容器隧道网络模型的集群需要) 所有IP地址 容器间网络互访。
修复IPVS模式下,EulerOS 2.9节点上升级CoreDNS后出现概率性解析超时的问题。 4.18.0-147.5.1.6.h841.eulerosv2r9.x86_64 2023年1月 更新系统内核,修复安全漏洞。
在VPC网络集群中访问集群外地址时使用Pod IP作为客户端源IP 在使用VPC网络的CCE集群中,Pod与集群外部通信时,系统默认会将源Pod的IP地址转换为节点的IP地址,使Pod以节点IP的形式与外部进行通信。这一过程被称为“Pod IP伪装”,技术上也称为源网络地址转换(Source
监听器配置: SSL解析方式:v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。 单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。
vip_subnet_cidr_id 否 String 指定ELB所在的子网,该子网必须属于集群所在的VPC。 如不指定,则ELB与集群在同一个子网。 仅v1.21及以上版本的集群支持指定该字段。 vip_address 否 String 负载均衡器的内网IP。
优化VIP路由清理逻辑,先清理残留VIP路由,避免出现NetworkManager重启后重新添加路由的问题。 修复CCE Turbo集群使用独享型ELB场景,Pod滚动升级复用IP可能导致ELB后端服务器无法添加的问题。
加速数据链路 Pod或Node访问Service的ClusterIP以及ExternalIP时,会使用eBPF将Service地址直接解析为Service后端某个Pod的地址。
优化VIP路由清理逻辑,先清理残留VIP路由,避免出现NetworkManager重启后重新添加路由的问题。 修复CCE Turbo集群使用独享型ELB场景,Pod滚动升级复用IP可能导致ELB后端服务器无法添加的问题。
为Pod配置EIP 使用场景 云原生网络2.0网络模式下,Pod使用的是VPC的弹性网卡/辅助弹性网卡,可直接绑定弹性公网IP。 为方便用户在CCE内直接为Pod关联弹性公网IP,用户只需在创建Pod时,配置annotation(yangtse.io/pod-with-eip: "
例如,当有一个需要访问云上数据库的StatefulSet类型业务,需要在对云上数据库进行严格的访问控制,只允许该业务进行访问,则可固定该业务的Pod IP,配置云上数据库的安全组只允许该业务的容器IP可进行访问。
Could not resolve host: xxx ; Unknown error 在节点上ping无法解析的域名,例如: ping xxx 如果不能,则说明DNS无法解析该地址。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
