检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
结构体json 无 允许 CCE Standard/CCE Turbo 自动创建负载均衡器场景必填参数,根据所需填写。 负载均衡器和集群必须在一个VPC内 父主题: 路由
true参数,详情请参见在Pod中配置主机网络(hostNetwork)。配置完成后的Pod会占用宿主机的端口,Pod的IP就是宿主机的IP,不会占用容器网络的IP。使用时需要考虑是否与宿主机上的端口冲突,因此一般情况下除非某个特定应用必须使用宿主机上的特定端口,否则不建议使用主机网络。 父主题: 附录
云原生网络1.0:面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 网络性能 VPC网络和容器网络融合,性能无损耗 VPC网络叠加容器网络,性能有一定损耗 容器网络隔离 Pod可直接关联安全组,基于安全组的隔离策略,支持集群内外部统一的安全隔离。 隧道网络模式:集
0)时,您需要提前在集群所在VPC创建一个VPC终端节点,集群需要通过VPC终端节点访问通用文件系统。配置VPC终端节点的方法请参见配置VPC终端节点。 约束与限制 使用通用文件系统(SFS 3.0)SFS存储卷时,集群中需要安装2.0.9及以上版本的CCE容器存储(Everest)。
Administrator权限的账户完成授权,将当前区域云资源权限授权给CCE,以此来支持成本治理功能运行需要。 为了最小化授权,CCE服务进行了一次权限细粒度化改造,将由系统策略为粒度的权限集,修改为Action(依赖调用的接口对应一个Action)粒度的权限集。如果您已经进行了服务授权,可以一键进行权限优化,优化您授权的权限。
储在宿主机上的目录,比如一个NFS的挂载目录。 PVC:PVC描述的是Pod所希望使用的持久化存储的属性,比如,Volume存储的大小、可读写权限等等。 Kubernetes管理员设置好网络存储的类型,提供对应的PV描述符配置到Kubernetes,使用者需要存储的时候只需要创建
工作负载亲和(podAffinity) 节点亲和的规则只能影响Pod和节点之间的亲和,Kubernetes还支持Pod和Pod之间的亲和,例如将应用的前端和后端部署在一起,从而减少访问延迟。Pod亲和同样有requiredDuringSchedulingIgnoredDuringExecution和preferr
l模式的DNAT Service。 同一个NAT网关下的多条规则可以复用同一个弹性公网IP,不同网关下的规则必须使用不同的弹性公网IP。 每个VPC支持的NAT网关数为1。 用户不能在VPC下手动添加默认路由。 VPC内的每个子网只能添加一条SNAT规则。 SNAT规则和DNAT
集群网络模型选择及各模型区别 CCE集群实现访问跨VPC网络通信 使用VPC和云专线实现容器与IDC之间的网络通信 自建IDC与CCE集群共享域名解析 通过负载均衡配置实现会话保持 不同场景下容器内获取客户端源IP 通过配置容器内核参数增大监听队列长度 为负载均衡类型的Service配置pass-through能力
下面将详细讲解通过NAT网关访问公网的方法,NAT网关能够为VPC内的容器实例提供网络地址转换(Network Address Translation)服务,SNAT功能通过绑定弹性公网IP,实现私有IP向公有IP的转换,可实现VPC内的容器实例共享弹性公网IP访问Intern
设置调度规则后,节点有空余的资源用于容器的调度。 - 合理设置“亲和性”和“反亲和性” 可靠性 对外提供服务的应用,如果以“或”的关系同时配置“亲和性”和“反亲和性”,应用升级或者重启后,会概率出现服务无法访问的问题。 亲和性/反亲和性调度策略概述 反例: 应用A设置对节点1、节
您可以根据工作负载标签,使用标签选择器来筛选需要亲和/反亲和的Pod,并将新建的工作负载调度/不调度至目标Pod所在的节点(或节点组),同时支持必须满足和尽量满足的亲和性规则。 说明: 工作负载亲和性和反亲和性需要一定的计算时间,因此在大规模集群中会显著降低调度的速度。在包含数百个节点的集群中,不建议使用这类设置。
集群网络地址段规划实践 集群网络模型选择及各模型区别 CCE Turbo配置容器网卡动态预热 在VPC网络集群中访问集群外地址时使用Pod IP作为客户端源IP 网络环境打通相关实践 使用VPC和云专线实现容器与IDC之间的网络通信 集群通过企业路由器连接对端VPC 容器网络相关实践 不同场景下容器内获取客户端源IP
对性能要求不高:由于需要额外的VXLAN隧道封装,相对于另外两种容器网络模式,性能存在一定的损耗(约5%-15%)。所以容器隧道网络适用于对性能要求不是特别高的业务场景,比如:Web应用、访问量不大的数据中台、后台服务等。 大规模组网:相比VPC路由网络受限于VPC路由条目配额的限制,容器隧道
19版本。 最新版本的集群修复了已知的漏洞或者拥有更完善的安全防护机制,新建集群时推荐选择使用最新版本的集群。在集群版本停止提供服务前,请及时升级到新版本。 及时跟踪处理官网发布的漏洞 CCE服务会不定期发布涉及的漏洞,用户需及时关注和处理,参见漏洞公告。 关闭default的servic
roxy直接转发,而不再经过集群外部的ELB。 当externalTrafficPolicy的取值为Local时,在不同容器网络模型和服务转发模式下访问不通的场景如下: 多实例的工作负载需要保证所有实例均可正常访问,否则可能出现概率性访问不通的情况。 CCE Turbo集群(云原生2
解决方案 使用华为云账号或者具有管理员权限的账号登录IAM管理控制台,在左侧导航栏中选择“用户”。 在IAM用户页签查找出现报错的用户名,单击用户名右侧的“授权”。 选择相应的权限后,单击“确定”,提交授权。 当前账号未被授予该操作所需的IAM权限 问题现象 当您访问控制台时,出现报错“权限不足”,错误码:CCE
y)。 集群级别:集群下所有节点的IP+节点端口均可以访问到此服务关联的负载,服务访问会因路由跳转导致一定性能损失,且无法获取到客户端源IP。 节点级别:只有通过负载所在节点的IP+节点端口才可以访问此服务关联的负载,服务访问没有因路由跳转导致的性能损失,且可以获取到客户端源IP。
如何重置CCE集群中节点的密码? 如何解决新增节点时提示弹性IP不足的问题? 如何收集节点的日志? 更多 集群网络类 云容器引擎CCE支持哪些网络能力? VPC网络是什么原理?是如何实现的? 集群与虚拟私有云、子网的关系是怎样的? 如何查看虚拟私有云VPC的网段? 如何规划集群中虚拟私有云VPC和子网网段?
CoreDNS域名解析:安装插件所需设置的参数说明请参见 CoreDNS域名解析。 云原生监控插件:安装插件所需设置的参数说明请参见 云原生监控。 云原生日志采集插件:安装插件所需设置的参数说明请参见 云原生日志采集。 CCE突发弹性引擎(对接 CCI):安装插件所需设置的参数说明请参见 CCE突发弹性引擎(对接CCI)。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
