检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
制作CCE节点自定义镜像 创建节点时执行安装前/后脚本 创建节点时使用OBS桶实现自定义脚本注入 选择合适的节点数据盘大小 节点日常管理实践 存储扩容 通过Core Dump文件定位容器问题 容器与节点时区同步 将节点容器引擎从Docker迁移到Containerd 节点安全实践 CCE节点安全配置建议
创建一个名为sa-pod.yaml的描述文件。其中,mysql.yaml为自定义名称,您可以随意命名。 vim sa-pod.yaml 为了确保Pod能够使用手动创建的Secret中的Token,您需要明确地将该Secret挂载到容器中,挂载方式请参见描述文件中的加粗代码。 文件内容如下: apiVersion:
骤三:使用工作负载Identity。 主要流程如下: 部署应用Pod并通过挂载身份提供商获取OIDC Token文件。 Pod内程序使用挂载的OIDC Token文件访问IAM获取临时的IAM Token。 Pod内程序使用IAM Token访问云服务。 图1 工作流程 步骤一:获取CCE集群的签名公钥
配置,可参考通过kubectl连接集群,获取kubectl配置文件。 登录Jenkins 页面,进入“Manage Jenkins”,选择“Security > Manage Credentials”,并通过 secret file 的方式创建集群凭证。 同理,重复以上步骤创建生产集群访问凭证。
业界安全研究人员披露runc systemd属性注入漏洞(CVE-024-3154),攻击者可将恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload)注入Pod注解中,进而在宿主机中执行任意操作。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID
该节点。 删除节点会导致与节点关联的本地持久卷类型的PVC/PV数据丢失,无法恢复,且PVC/PV无法再正常使用。删除节点时使用了本地持久存储卷的Pod会从删除的节点上驱逐,并重新创建Pod,Pod会一直处于pending状态,因为Pod使用的PVC带有节点标签,由于冲突无法调度成功。
操作步骤 以root用户登录docker所在的机器。 执行如下命令,切换到用于存放该应用的目录。 cd apptest 编写脚本文件,脚本文件名称和内容会根据应用的不同而存在差别。此处仅为本例应用的指导,请根据实际应用来编写。 vi start_tomcat_and_mongo
径下生成以配置项中的key为文件名, value为文件内容的配置文件。 数据存储挂载到容器上的路径。请不要挂载在系统目录下,如“/”、“/var/run”等,会导致容器异常。建议挂载在空目录下,若目录不为空,请确保目录下无影响容器启动的文件,否则文件会被替换,导致容器启动异常,工作负载创建失败。
建自己的Pod安全策略并绑定RBAC配置。 除全局默认安全策略外,系统为kube-system命名空间下的系统组件配置了独立的Pod安全策略,修改psp-global配置不影响kube-system下Pod创建。 PodSecurityPolicy在Kubernetes v1.2
variables CLOUD_SDK_AK and CLOUD_SDK_SK in the local environment String ak = System.getenv("CLOUD_SDK_AK"); String sk = System.get
myhuaweicloud.com/cloud-develop/nginx:v1 上传镜像至目标镜像仓库。 docker push [镜像仓库地址]/[组织名称]/[镜像名称:版本名称] 示例: docker push swr.cn-east-3.myhuaweicloud.com/cloud-develop/nginx:v1
(sum(container_memory_working_set_bytes{image!="", container!="POD",namespace="kube-system",container="coredns"}) BY (cluster_name, node,container, pod , namespace
verbs: ["get", "list", "watch"] 创建并编辑kube-apiserver.yaml文件。 vi kube-apiserver.yaml 文件内容如下: apiVersion: monitoring.coreos.com/v1 kind: ServiceMonitor
云原生日志、K8s事件采集插件。log-agent支持基于CRD的日志采集策略,可以根据您配置的策略规则,对集群中的容器标准输出日志、容器文件日志、节点日志及K8s事件日志进行采集与转发。同时支持上报K8s事件到AOM,用于配置事件告警,默认上报所有异常事件和部分正常事件。 字段说明
适配企业的个性化诉求。 高性能 全容器化架构设计,任务调度更灵活,执行效率更高。 建议搭配使用 容器镜像服务SWR + 对象存储服务OBS + 虚拟专用网络VPN 图1 DevOps持续交付场景 父主题: 应用场景
CPU(和网络)负载也越高 参数名 取值范围 默认值 是否允许修改 作用范围 concurrent-deployment-syncs 大于等于0 5 允许 CCE Standard/CCE Turbo 允许同时同步的资源对象的数量。配置数量越大,管理响应越快,但 CPU(和网络)负载也越高
Grafana插件参数配置 参数 参数说明 存储卷声明类型 安装Grafana需创建存储卷用于存储本地数据,卸载插件时Grafana的存储卷不会删除。 选择“云硬盘”类型时,需选择“云硬盘类型”,不同局点支持的云硬盘类型可能不同,请以控制台选择项为准。 创建云硬盘会收取存储费用,并占用云硬盘的配额。
服务资源(例如云硬盘、绑定的弹性IP、带宽等)将按各自的计费方式(“包年/包月”或“按需付费”等)进行收费。 说明: 集群休眠后,集群中的工作节点(即ECS)并不会自动关机,如需关机可勾选“关机集群下所有节点”选项。您也可以在集群休眠后自行登录ECS控制台将节点关机,具体请参见节点关机。
鼠标右键单击“Download”按钮,复制下载链接。 图4 获取链接 获取驱动链接-OBS地址 将驱动上传到对象存储服务OBS中,并将驱动文件设置为公共读,方法请参见上传文件。 节点重启时会重新下载驱动进行安装,请保证驱动的OBS桶链接长期有效。 在桶列表单击待操作的桶,进入“概览”页面。
时,表示未能连接到集群,需要检查kubectl到集群Master节点的网络是否能够连通。 解决方法 如果是在集群外部执行kubectl,请检查集群是否绑定公网IP,如已绑定,请重新下载kubeconfig文件配置,然后重新执行kubectl命令。 如果是在集群内节点上执行kube
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
