检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
n级别告警打印,该流程会持有调度的rq锁,跟其他进程发生死锁(x86_64下为ABBA锁,aarch64下为AA锁)。 解决方法 您可以修改配置文件中的kernel.printk参数值进行修复。kernel.printk参数用于控制内核日志信息的输出级别和方式。 检查配置文件中kernel
VPC内的容器无法进行正常DNS解析的情况。 解决方案 由于本案例涉及的是内网域名解析,按照内网域名解析的规则,需要确保VPC内的子网DNS设置成的云上DNS,具体以内网DNS服务的控制台界面提示为准。 本案例的子网中已经完成该设置,其中用户可以在该VPC子网内的节点(ECS)进行域名解析,也说明已完成该设置,如下图:
在宿主执行的进程不同,容器进程运行于属于自己的独立的命名空间。 图3 实例Pod、容器Container、节点Node的关系 工作负载 工作负载是在Kubernetes上运行的应用程序。无论您的工作负载是单个组件还是协同工作的多个组件,您都可以在Kubernetes上的一组Pod
节点sock文件挂载检查异常处理 检查项内容 检查节点上的Pod是否直接挂载docker/containerd.sock文件。升级过程中Docker/Containerd将会重启,宿主机sock文件发生变化,但是容器内的sock文件不会随之变化,二者不匹配,导致您的业务无法访问Docker/Cont
回显如下,表示网络已通。 图6 网络回显结果 重复上述过程,依次确认节点的连通性。 如果存在ping对端VPC的节点不通,可能存在如下情况,请依次确认: 集群节点的安全组规则是否放通ICMP协议。 VPC的路由表是否存在网段冲突。请额外注意,容器网段也不可与默认的企业路由器网段冲突,详情请参见规划组网。
从Pod访问同一VPC网络的云服务 集群的容器网络模型不同,集群内的从Pod访问同一VPC网络的云服务的方式也不同,请参见表1 从Pod访问云服务的方式(同一VPC)。 表1 从Pod访问云服务的方式(同一VPC) 容器网络模型 方式 容器隧道网络 容器隧道网络在节点网络基础上通过隧道封装网
io/zone为key做多实例副本软的反亲和部署。优先将插件的容器实例调度到不同可用区的节点上,如集群下节点不满足多可用区,插件实例将调度到单可用区下的不同节点。 强制模式:以拓扑域topology.kubernetes.io/zone为key做多实例副本硬反亲和部署。插件容器实例强制调度到不同可用区的节点上
问题根因 出现以上问题的原因是宿主机上有其他进程正在使用该设备。 解决方法 您需要登录到Pod所在宿主机上查找正在使用该设备的进程,并终止对应的进程。 登录Pod所在节点。 执行以下命令,找到对应挂载路径下的云存储设备,其中<mount-path>为错误信息中显示的挂载路径。 mount
CCE节点故障检测插件(node-problem-detector,简称NPD)是一款监控集群节点异常事件的插件,以及对接第三方监控平台功能的组件。它是一个在每个节点上运行的守护程序,可从不同的守护进程中搜集节点问题并将其报告给apiserver。node-problem-detector可以作为DaemonSet运行,
daemon组件在拉取镜像的过程中没有对镜像层digest进行有效性校验,拉取一个被恶意损坏的镜像可能会导致docker daemon崩溃。 该漏洞可能在以下场景触发: 在集群内的节点上手动docker pull一个被恶意损坏的镜像。 部署工作负载时负载模板中定义了一个被恶意损坏的镜像,kubelet自动拉取镜像时触发。
法运行。 容忍策略 容忍策略与节点的污点能力配合使用,允许(不强制)插件的 Deployment 实例调度到带有与之匹配的污点的节点上,也可用于控制插件的 Deployment 实例所在的节点被标记污点后插件的 Deployment 实例的驱逐策略。 插件会对实例添加针对node
非Pod产生的容器,也就无法感知到该容器镜像被引用,因此当kubelet尝试删除容器镜像时,容器运行时会因为容器镜像仍处于被引用的状态而拦截kubelet的删除行为,导致kubelet在定期回收镜像过程中出现失败。 解决方法 登录节点上执行以下命令,过滤出告警提示的容器,确认是否
背景信息 进程 ID(PID)是节点上的一种基础资源,容易在尚未超出其它资源约束的时候触及进程ID数量上限,进而导致节点不稳定。 您可以根据实际业务需求调整进程ID数量上限。 默认kernel.pid_max说明 CCE在2022年1月底将1.17及以上集群的节点公共操作系统EulerOS
功能介绍 集群休眠用于将运行中的集群置于休眠状态,休眠后,将不再收取控制节点资源费用。 接口约束 1、集群休眠后,将无法在此集群上创建和管理工作负载等资源。 2、按需付费集群休眠后,将暂停收取控制节点资源费用,集群所属的节点、绑定的弹性IP、带宽等资源按各自的计费方式(“包年/包月”或“按需付费”)进行收费。
B005或更低版本的CentOS 7.6节点(简单的判断方法为2021年2月23日及之前创建的节点)。 计划使用或已配置使用networkpolicy规则。 排查方法 快速排查方法(适用于节点为按需计费类型) 若您的节点为按需计费类型,可从cce-console上查看节点创建时间,
外部安全研究人员披露sudo中的堆溢出漏洞(CVE-2021-3156),该漏洞在类似Unix的主要操作系统上都可以使用。在其默认配置下会影响从1.8.2到1.8.31p2的所有旧版本以及从1.9.0到1.9.5p1的所有稳定版本。成功利用此漏洞,任何没有特权的用户都可以在易受攻击的主机上获得root特权。
延迟,因为这两种类型的Pod可以共享相同的物理资源。 某类应用部署到某些特定的节点,确保关键应用总是运行在最优的硬件或配置上。 不同应用部署到不同的节点,有助于隔离应用,防止一个应用的问题影响到其他应用。 您可以使用以下方式来选择Kubernetes对Pod的调度策略: 表1 工作负载调度策略
终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点查询服务的终端节点。 请您根据业务需要选择对应区域的终端节点。 集群管理、节点管理、节点池管理、配额管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径。 Kubernetes
将有可能被与该节点在同一局域网中的其他主机,或与该服务运行在同一节点上的容器所访问。如果端口1234上的服务不需要额外的认证(因为假设只有其他localhost进程可以),那么很容易受到利用此bug进行攻击。 华为云提醒使用kube-proxy的用户及时安排自检并做好安全加固。
期望运行在同一物理CPU的超线程 如果您的应用有以上其中一个特点,可以利用Kubernetes中提供的CPU管理策略为应用分配独占的CPU核(即CPU绑核),提升应用性能,减少应用的调度延迟。CPU manager会优先在一个Socket上分配资源,也会优先分配完整的物理核,避免一些干扰。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
