检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CCE集群版本:v1.9-v1.17.9。 如果没有使用主机网络并且容器内进程不以root用户(UID为0)运行,则不涉及该漏洞。 漏洞修复方案 建议使用最小权限运行容器,对于不信任的容器进行如下限制: 禁止使用主机网络; 禁止容器内的进程以root用户运行。 相关链接 containerd-shim
离。 下列检查项中若未明确指出检查周期,则默认周期为30秒。 表3 系统组件检查 故障检查项 功能 说明 容器网络组件异常 CNIProblem 检查CNI组件(容器网络组件)运行状态 无 容器运行时组件异常 CRIProblem 检查节点CRI组件(容器运行时组件)Docker和Containerd的运行状态
me为cceaddon-nginx-ingress-{className}-controller。 监控中心 访问中心 秒级监控 监控中心主要展示NGINX Ingress的基本信息,支持不同时间维度(相对时间、整点时间、自定义时间段)的呈现,包括以下参数报表: 访问数据:访问量
签。 单击页面右上角“创建工作负载”,在“容器配置”中选择“数据存储”页签,并单击“添加存储卷 > 临时路径(EmptyDir)”。 本文主要为您介绍存储卷的挂载使用,如表1,其他参数详情请参见工作负载。 表1 临时路径挂载 参数 参数说明 存储介质 开启内存: 开启后可以使用内
检查节点上是否存在不可访问的挂载点。 解决方案 问题场景:节点上存在不可访问的挂载点 节点存在不可访问的挂载点,通常是由于该节点或节点上的Pod使用了网络存储nfs(常见的nfs类型有obsfs、sfs等),且节点与远端nfs服务器断连,导致挂载点失效,所有访问该挂载点的进程均会出现D状态卡死。
普通任务(Job)和定时任务(CronJob) 守护进程集(DaemonSet) 亲和与反亲和调度 配置管理 ConfigMap Secret Kubernetes网络 容器网络 Service Ingress 就绪探针(Readiness Probe) NetworkPolicy 持久化存储 Volume PV、PVC和StorageClass
ster节点和Node节点,本章讲述的节点特指Node节点,Node节点是集群的计算节点,即运行容器化应用的节点。 在云容器引擎CCE中,主要采用高性能的弹性云服务器ECS或裸金属服务器BMS作为节点来构建高可用的Kubernetes集群。 支持的节点规格 不同区域支持的节点规格
中启用。 如果使用自签名证书或无法获取有效证书的私有镜像仓库时,才考虑启用此选项。 v1.23.17-r0、v1.25.12-r0、v1.27.9-r0、v1.28.7-r0、v1.29.3-r0及以上版本的集群支持该参数。 网络组件配置(仅CCE Turbo集群可见) 名称 参数
工作负载异常:实例驱逐异常(Evicted) 容器异常退出状态码 如何让多个Pod均匀部署到各个节点上? 如何驱逐节点上的所有Pod? 网络管理 集群安全组规则配置 工作负载网络异常时,如何定位排查? 为什么访问部署的应用时浏览器返回404错误码? 节点无法连接互联网(公网),如何排查定位? 解析外部域名很慢或超时,如何优化配置?
更改集群节点的默认安全组 操作场景 集群在创建时可指定自定义节点安全组,方便统一管理节点的网络安全策略。对于已创建的集群,支持修改集群默认的节点安全组。 约束与限制 一个安全组关联的实例数量建议不超过1000个,否则可能引起安全组性能下降。更多关于安全组的限制请参考安全组限制。
配置建议: 基于容器组概念的Gang调度算法十分适合需要多进程协作的场景。AI场景往往包含复杂的流程,Data Ingestion、Data Analysts、Data Splitting、Trainer、Serving、Logging等,需要一组容器进行协同工作,就很适合基于容器组的
破CPU Limit值,以降低业务长尾响应时延,详情请参见CPU Burst弹性限流。 出口网络带宽 开启 在CCE Turbo集群中,支持在线业务与离线业务的网络隔离,详情请参见出口网络带宽保障。 资源超卖 开启 通过实时采集节点负载信息,挖掘节点已分配、但未使用的资源,实现动
t密钥对象数据存储在集群对应的etcd中。 CCE集群支持使用KMS中创建的密钥加密Kubernetes Secret密钥。KMS加密过程基于Kubernetes提供的KMS Encryption Provider机制,使用信封加密的方式对存储在etcd中的Kubernetes
- name: networkresource arguments: NetworkType: vpc-router - name: numa-aware # add it to enable numa-aware plugin
参考:Jenkins对接Kubernetes集群的RBAC 前提条件 集群需要开启RBAC。 场景一:基于namespace的权限控制 新建ServiceAccount和Role,然后定义一个RoleBinding,将ServiceAccount绑定到Role # kubectl
Pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。通过使用安全运行时,不同容器之间的内核、计算资源、网络都是隔离开的,保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群支持使用普通运行时和安全运行时创建工作负载,您可以根据业务需求选择使用,两者的区别如下:
单击页面右上角“创建工作负载”,在“容器配置”中选择“数据存储”页签,并单击“添加存储卷 > 本地临时卷(EmptyDir)”。 本文主要为您介绍存储卷的挂载使用,如表1,其他参数详情请参见工作负载。 表1 本地临时卷挂载 参数 参数说明 容量 申请的存储卷容量大小。 挂载路径
单击节点池名称后的“更多 > 纳管节点”。 选择一个或多个满足条件的节点。支持纳管符合如下条件的云服务器至节点池: 待纳管节点需与节点池属于同一虚拟私有云和子网。 待纳管节点需与节点池属于相同的企业项目。 待纳管节点需与当前节点池相同的计费模式。例如,按需计费节点池只支持纳管按需计费的节点。
l连接到集群,详情请参见通过kubectl连接集群。 您已经创建好一个状态可用的SFS Turbo,并且SFS Turbo与集群在同一个VPC内。 约束与限制 支持多个PV挂载同一个SFS或SFS Turbo,但有如下限制: 多个不同的PVC/PV使用同一个底层SFS或SFS T
7之前的CCE集群,该字段无需填写,默认都是VBD。 v1.11.7+以及v1.13的Linux x86 CCE集群要求该字段值必须存在,且基于PVC触发动态创建的都是EVS SCSI模式的卷,因此这里静态PV形式优先选用SCSI模式的云硬盘;同时支持升级后的老集群中VBD卷能够继续正常使用。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
