检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
修改CCE集群所在的VPC子网的DNS配置,这样新创建的Node节点的/etc/resolv.conf文件中会直接刷新成指定的域名解析服务器地址。 此方法需要确保节点能够正常使用IDC的域名解析服务器解析华为云内网域名,否则会导致节点无法创建。建议在调试无问题后再修改VPC子网的DNS配置。
参数类型 描述 hostNetwork hostNetwork object 分区子网 containerNetwork Array of containerNetwork objects 分区容器子网 publicBorderGroup String 群组 category String
如果云服务配置了安全组或ACL,而这些配置仅允许Pod所在节点的IP进行访问,那么在这种场景下就需要进行SNAT,将Pod IP转换成节点IP进行访问,因而服务端所在的子网网段就不能加入到nonMasqueradeCIDRs配置中。 在大多数情况下,保持Pod IP伪装(SNAT)的默认行为即可满足需求。
0模型下,由于容器网段与节点网段共同使用VPC下的网络地址,建议容器子网与节点子网不要使用同一个子网,否则容易出现IP资源不足导致容器或节点创建失败的情况。 另外云原生网络2.0模型下容器网段支持在创建集群后增加子网,扩展可用IP数量,此时需要注意增加的子网不要与容器网段其他子网存在网络冲突。 图4 网段配置(创建集群时配置)
建议迁移业务,减少节点中的工作负载数量,并对工作负载设置资源上限,降低节点CPU或内存等资源负载。 将集群中对应的cce节点进行数据清理。 限制每个容器的CPU和内存限制配额值。 对集群进行节点扩容。 您也可以重启节点,请至ECS控制台对节点进行重启,重启方法请参见如何重启弹性云服务器?。
默认情况下,如果命名空间中不存在任何策略,则所有进出该命名空间中的Pod的流量都被允许。 NetworkPolicy的Ingress/Egress对端选择方式有如下3种: namespaceSelector:根据命名空间的标签选择,具有该标签的命名空间都可以访问或被访问。 podSele
为无IPv4私网IP地址的ELB绑定一个私网IP。 登录CCE控制台,单击目标ELB名称。 在基本信息页面,单击“IPv4私有IP”旁的“绑定”。 设置子网及IPv4地址,并单击“确定”。 父主题: 升级前检查异常问题排查
in the VPC. 未在VPC中找到子网。 请确认请求体中的子网是否在对应VPC下。 400 CCE.01400003 IPv6 not supported for the subnet. 子网不支持ipv6。 请使用支持ipv6的子网。 400 CCE.01400004 No
集群网络类 云容器引擎CCE支持哪些网络能力? VPC网络是什么原理?是如何实现的? 集群与虚拟私有云、子网的关系是怎样的? 如何查看虚拟私有云VPC的网段? 如何规划集群中虚拟私有云VPC和子网网段? 如何设置集群容器网段? 更多 容器存储类 使用CCE时,如何外接存储设备? CCE支持
场景 支持配置docker baseSize 支持命名空间亲和调度 支持节点数据盘划分用户空间 支持集群cpu管理策略 支持集群下的节点跨子网(容器隧道网络) v1.13.7-r0 主要特性: Kubernetes同步社区1.13.7版本 支持网络平面(NetworkAttachmentDefinition)
集群外部访问Ingress异常 CCE集群中域名解析失败 为什么访问部署的应用时浏览器返回404错误码? 为什么容器无法连接互联网? VPC的子网无法删除,怎么办? 如何修复出现故障的容器网卡? 节点无法连接互联网(公网),如何排查定位? 如何解决VPC网段与容器网络冲突的问题? E
配置建议: 建议配置为大部分节点日常运行Pod个数的大小;集群中的节点上会根据配置的值预热出一定的网卡个数,预热的网卡会占用容器子网的IP,请合理规划容器子网网段大小。 预热容器网卡上限检查值 节点预热容器网卡上限检查值 参数名 取值范围 默认值 是否允许修改 作用范围 nic-maximum-target
节点是否已绑定弹性IP 排查项二:节点是否配置网络ACL 登录VPC控制台。 单击左侧导航栏的“访问控制 > 网络ACL”。 排查节点所在集群的子网是否配置了网络ACL,并限制了外部访问。 排查项三:检查容器DNS配置 在容器中执行cat /etc/resolv.conf命令,查看DNS配置。示例如下:
场景 支持配置docker baseSize 支持命名空间亲和调度 支持节点数据盘划分用户空间 支持集群cpu管理策略 支持集群下的节点跨子网(容器隧道网络) v1.13.7-r0 主要特性: Kubernetes同步社区1.13.7版本 支持网络平面(NetworkAttachmentDefinition)
指定ELB所在的子网,该子网必须属于集群所在的VPC。 如不指定,则ELB与集群在同一个子网。 仅v1.21及以上版本的集群支持指定该字段。 vip_address 否 String 负载均衡器的内网IP。仅支持指定IPv4地址,不支持指定IPv6地址。 该IP必须为ELB所在子网网段中的
参数解释: ENI所在子网的IPv4子网ID。 约束限制: 暂不支持IPv6,废弃中,推荐使用新字段subnets。 取值范围: 不涉及 默认取值: 不涉及 获取方法如下: 方法1:登录虚拟私有云服务的控制台界面,单击VPC下的子网,进入子网详情页面,查找IPv4子网ID。 方法2:通
指定ELB所在的子网,该子网必须属于集群所在的VPC。 如不指定,则ELB与集群在同一个子网。 仅v1.21及以上版本的集群支持指定该字段。 vip_address 否 String 负载均衡器的内网IP。仅支持指定IPv4地址,不支持指定IPv6地址。 该IP必须为ELB所在子网网段中的
0/0) Master的kube-apiserver的监听端口。 建议修改 端口需保留对VPC网段、容器网段和托管网格控制面网段放通。 说明: 如果您需要使用CloudShell功能,请保留5443端口对198.19.0.0/16网段放通,否则将无法访问集群。 TCP:8445 VPC网段
虚拟私有云VPC 本示例中共有3个VPC,包括ECS所在VPC和测试集群、生产集群所在的VPC。这些VPC位于同一个区域内,且这些VPC的子网网段不重叠。 vpc-X:192.168.0.0/16(安装Gitlab和Jenkins的ECS所在VPC) vpc-A:172.16.0
runc漏洞(CVE-2024-21626)对CCE服务的影响说明 漏洞详情 runc是一个基于OCI标准实现的一个轻量级容器运行工具,是Docker、Containerd、Kubernetes等容器软件的核心基础组件。近日,runc社区发布最新版本,修复了一处高危级别的容器逃逸
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
