检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CCE集群版本:v1.9-v1.17.9。 如果没有使用主机网络并且容器内进程不以root用户(UID为0)运行,则不涉及该漏洞。 漏洞修复方案 建议使用最小权限运行容器,对于不信任的容器进行如下限制: 禁止使用主机网络; 禁止容器内的进程以root用户运行。 相关链接 containerd-shim
相关或无关的节点上,可以有效地提高集群的利用率。 例如,通信频繁的前端应用Pod和后端应用Pod可优先调度到同一个节点或同一个可用区,减少网络延迟。工作负载亲和/反亲和的示意如下: 首先,拓扑域(根据topologyKey划分)通过节点的标签和标签值划分节点范围,将节点分为不同的拓扑域。
CCE为您提供了强大的入门指导,请参考帮助文档中的企业应用容器化改造。 我不会制作镜像,是否可以使用CCE? CCE除了提供“我的镜像”功能用于存储您自行创建的镜像外,您还可以基于开源镜像创建容器应用。详情请参考CCE快速入门在CCE集群中部署NGINX无状态工作负载。 如何使用CCE创建工作负载? 创建工作负载非常
docker-monit 检查是否有程序正在使用GPU卡设备。 运行命令: sudo fuser -v /dev/nvidia* 如无fuser命令(以基于RPM的Linux发行版为例),可执行命令yum install psmisc安装psmisc包。 # sudo fuser -v /dev/nvidia*
io/url-match-mode指定的匹配方式,这与v1beta1方式相同。 Exact:精确匹配 URL 路径,且区分大小写。 Prefix:基于以 / 分隔的 URL 路径前缀匹配。匹配区分大小写,并且对路径中的元素逐个匹配。 路径元素指的是由 / 分隔符分隔的路径中的标签列表。 前提条件
l连接到集群,详情请参见通过kubectl连接集群。 您已经创建好一个状态可用的SFS Turbo,并且SFS Turbo与集群在同一个VPC内。 约束与限制 支持多个PV挂载同一个SFS或SFS Turbo,但有如下限制: 多个不同的PVC/PV使用同一个底层SFS或SFS T
离。 下列检查项中若未明确指出检查周期,则默认周期为30秒。 表3 系统组件检查 故障检查项 功能 说明 容器网络组件异常 CNIProblem 检查CNI组件(容器网络组件)运行状态 无 容器运行时组件异常 CRIProblem 检查节点CRI组件(容器运行时组件)Docker和Containerd的运行状态
ster节点和Node节点,本章讲述的节点特指Node节点,Node节点是集群的计算节点,即运行容器化应用的节点。 在云容器引擎CCE中,主要采用高性能的弹性云服务器ECS或裸金属服务器BMS作为节点来构建高可用的Kubernetes集群。 支持的节点规格 不同区域支持的节点规格
更改集群节点的默认安全组 操作场景 集群在创建时可指定自定义节点安全组,方便统一管理节点的网络安全策略。对于已创建的集群,支持修改集群默认的节点安全组。 约束与限制 一个安全组关联的实例数量建议不超过1000个,否则可能引起安全组性能下降。更多关于安全组的限制请参考安全组限制。
是否必选 参数类型 描述 annotations 否 Map<String>String 对外service的Annotations配置。主要配置ELB相关选项,如"kubernetes.io/elb.class","kubernetes.io/elb.id","kubernetes
配置建议: 基于容器组概念的Gang调度算法十分适合需要多进程协作的场景。AI场景往往包含复杂的流程,Data Ingestion、Data Analysts、Data Splitting、Trainer、Serving、Logging等,需要一组容器进行协同工作,就很适合基于容器组的
策略触发时,将根据实际情况调整HPA策略实例数范围,详情请参见表1。 触发时间 可选择每天、每周、每月或每年的具体时间点。 说明: 触发时间基于节点所在时区进行计算。 是否启用 可选择启用或关闭该策略规则。 填写完成上述参数,单击“确定”,您可以在列表中查看添加的策略规则。重复以上
- name: networkresource arguments: NetworkType: vpc-router - name: numa-aware # add it to enable numa-aware plugin
t密钥对象数据存储在集群对应的etcd中。 CCE集群支持使用KMS中创建的密钥加密Kubernetes Secret密钥。KMS加密过程基于Kubernetes提供的KMS Encryption Provider机制,使用信封加密的方式对存储在etcd中的Kubernetes
IPVS(IP Virtual Server)是在Netfilter上层构建的,并作为Linux内核的一部分,实现传输层负载均衡。IPVS可以将基于TCP和UDP服务的请求定向到真实服务器,并使真实服务器的服务在单个IP地址上显示为虚拟服务。 IPVS模式下,kube-proxy使用I
参考:Jenkins对接Kubernetes集群的RBAC 前提条件 集群需要开启RBAC。 场景一:基于namespace的权限控制 新建ServiceAccount和Role,然后定义一个RoleBinding,将ServiceAccount绑定到Role # kubectl
单击节点池名称后的“更多 > 纳管节点”。 选择一个或多个满足条件的节点。支持纳管符合如下条件的云服务器至节点池: 待纳管节点需与节点池属于同一虚拟私有云和子网。 待纳管节点需与节点池属于相同的企业项目。 待纳管节点需与当前节点池相同的计费模式。例如,按需计费节点池只支持纳管按需计费的节点。
不建议您通过yum方式进行升级,如果您在节点上通过yum update升级了操作系统,会导致容器网络的组件不可用。手动恢复方式请参见如何解决yum update升级操作系统导致容器网络不可用问题?。 表1 Linux云服务器登录方式一览 是否绑定EIP 本地设备操作系统 连接方法
7之前的CCE集群,该字段无需填写,默认都是VBD。 v1.11.7+以及v1.13的Linux x86 CCE集群要求该字段值必须存在,且基于PVC触发动态创建的都是EVS SCSI模式的卷,因此这里静态PV形式优先选用SCSI模式的云硬盘;同时支持升级后的老集群中VBD卷能够继续正常使用。
internalCluster user 登录Argo服务端,用户名为admin,服务端地址及密码可从1中获取。如果ECS服务器与集群处于同一VPC下,此处节点IP可使用私网IP。 argocd login <节点IP:端口号> --username admin --password <password>
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
