检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
工作负载Identity允许集群中的工作负载模拟IAM用户来访问云服务,从而无需直接使用IAM账号的AK/SK等信息,降低安全风险。 本文档介绍如何在CCE中使用工作负载Identity。 约束与限制 支持1.19.16及以上版本集群。 使用流程 在CCE侧获取集群Service Account
集群可用但节点状态为“不可用”如何解决? 当集群状态为“可用”,而集群中部分节点状态为“不可用”时,请参照本文提供的排查思路解决。 节点不可用检测机制说明 Kubernetes 节点发送的心跳确定每个节点的可用性,并在检测到故障时采取行动。检测的机制和间隔时间详细说明请参见心跳。
component: server annotations: kubernetes.io/elb.id: 038ff*** #请替换为集群所在VPC下的ELB实例ID,且ELB实例为公网访问类型 spec: ports: - name: cce-service-0
请不要操作kube-system下的secrets。 请不要操作任何命名空间下的default-secret、paas.elb。其中,default-secret用于SWR的私有镜像拉取,paas.elb用于该命名空间下的服务对接ELB。 使用密钥设置工作负载的环境变量 使用密钥配置工作负载的数据卷 本节以下面这个S
防止单一进程过度占用资源,影响系统的整体性能。 尽管Namespace和Cgroup从资源层面上实现了容器与宿主机的环境独立性,使得宿主机的资源对容器不可见,但这种隔离并没有实现真正意义上的安全隔离。由于容器共享宿主机的内核,一旦容器内部发生恶意行为或利用内核漏洞,就可能突破资
间的容器都运行在VPC之内 √ √ √ VPC(虚拟私有云)所有资源列表的查看权限。 √ √ √ ELB(弹性负载均衡)服务所有资源详情的查看权限。 x x √ ELB(弹性负载均衡)服务所有资源列表的查看权限。 x x √ SFS(弹性文件服务)服务所有资源详情的查看权限。 √
策略触发时,工作负载实例将在此范围内伸缩。 须知: 在CCE Turbo集群中,如果使用独享型ELB对接到工作负载,则最大实例数不能超过ELB的后端服务器组配额(默认为500),否则将会导致多余的实例无法添加到ELB后端。 冷却时间 请输入缩容和扩容的冷却时间,单位为分钟,缩容扩容冷却时间不能小于1分钟。
如何修改CCE集群名称? 集群创建完成后,支持修改集群名称。 登录CCE控制台,单击集群名称进入集群。 在集群信息页面,单击集群名称后的。 图1 修改集群名称 输入新的集群名称后,单击“保存”。 集群名称不能与其他集群的名称或原名相同。 集群名称修改后,如果集群相关的周边服务已使
0)或SFS Turbo。 根据工作负载类型不同,应用可实现的存储挂载方式也不同。此处动态挂载和静态挂载是从工作负载挂载存储卷的方式进行区分的。 动态挂载:仅有状态工作负载支持使用动态挂载,该功能通过volumeClaimTemplates字段实现,并依赖于StorageClass动态创建能
上传模板失败如何解决? 问题现象 上传模板时出现“请求失败,请稍后重试”的错误,错误码为SVCSTG.CCECAM.4000121,错误信息提示“Package name and version must be valid and same with chart name and
访问工作负载(例如Nginx工作负载),在浏览器中输入安全访问地址https://121.**.**.**:443进行验证。 其中,121.**.**.**为统一负载均衡实例的IP地址。 父主题: Nginx Ingress高级配置示例
thinpool磁盘空间耗尽导致容器或节点异常时,如何解决? 问题描述 当节点上的thinpool磁盘空间接近写满时,概率性出现以下异常: 在容器内创建文件或目录失败、容器内文件系统只读、节点被标记disk-pressure污点及节点不可用状态等。 用户可手动在节点上执行docker
储驱动插件,北向遵循标准容器平台存储驱动接口。实现Kubernetes Flex Volume标准接口,提供容器使用EVS块存储、SFS文件存储、OBS 对象存储、SFS Turbo 极速文件存储的能力。通过安装升级云存储插件可以实现云存储功能的快速安装和更新升级。 该插件为系统资源插件,Kubernetes
ker/Containerd。Pod重建后sock文件重新挂载,可恢复正常。 45 HTTPS类型负载均衡证书一致性检查异常处理 检查HTTPS类型负载均衡所使用的证书,是否在ELB服务侧被修改。 46 节点挂载检查异常处理 检查节点上默认挂载目录及软链接是否被手动挂载或修改。 47
如何获取TLS密钥证书? 场景 当您的Ingress需要使用HTTPS协议时,创建Ingress时必须配置IngressTLS或kubernetes.io/tls类型的密钥。 以创建IngressTLS密钥证书为例。如图1: 图1 创建密钥 密钥数据中上传的证书文件和私钥文件必须是配套的,不然会出现无效的情况。
创建存储卷失败如何解决? 现象描述 创建PV或PVC失败,在事件中看到如下信息。 {"message": "Your account is suspended and resources can not be used.", "code": 403} 问题根因 事件信息表示账号被
Pod支持Kubernetes原生NetworkPolicy 否 Pod支持使用安全组隔离 ELB对接Pod ELB对接Pod需要通过节点NodePort转发 ELB对接Pod需要通过节点NodePort转发 使用独享型ELB时可直接对接Pod 使用共享型ELB对接Pod需要通过节点NodePort转发 容器IP地址管理
ORKDIR为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。 工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限,将镜像中WORKDIR设置为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。 漏洞影响 满足上述漏洞利用
如何确认网卡不被集群占用? 操作场景 在CCE Turbo集群中,v1.23.17-r0、v1.25.12-r0、v1.27.9-r0、v1.28.7-r0、v1.29.3-r0及以上版本的集群支持删除容器子网。 删除集群容器子网属于高危操作,您需要确保当前集群正在使用的网卡中没
CCE集群如何重置或重装? CCE中的集群不能重置或重装,如确定集群无法使用,请提交工单或删除后重新购买集群。 CCE集群中的节点重置功能已上线,详情请参见重置节点。 父主题: 集群运行
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
