-
准备工作 - 云容器引擎 CCE
如果您还没有华为账号,请参考以下步骤创建。 打开华为云官网,单击页面右上角的“注册”。 根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?。 注册成功后,系统会自动跳转至您的个人信息界面。 参考实名认证完成个人或企业账号实名认证。
-
VPC网络模型说明 - 云容器引擎 CCE
优缺点 优点 由于没有隧道封装,网络问题易排查、性能较高。 在同一个VPC内,由于VPC路由表中自动配置了容器网段与VPC网段之间的路由,集群外部的资源可以与集群内部的容器直接进行网络通信。
-
节点无法连接互联网(公网),如何排查定位? - 云容器引擎 CCE
若没有,请为弹性云服务器绑定弹性IP。 图1 节点是否已绑定弹性IP 排查项二:节点是否配置网络ACL 登录VPC控制台,单击左侧导航栏的“访问控制 > 网络ACL”。排查节点所在集群的子网是否配置了网络ACL,并限制了外部访问。 父主题: 网络异常
-
如何避免节点上的某个容器被驱逐? - 云容器引擎 CCE
Burstable类型的Pod:系统用完了全部内存,且没有BestEffort容器可以终止时,该类型Pod会被终止。 Guaranteed类型的Pod:系统用完了全部内存、且没有Burstable与BestEffort容器可以终止时,该类型的Pod会被终止。
-
集群命名空间RBAC授权 - 云容器引擎 CCE
再查询kube-system命名空间下的Pod,发现也没有权限。
-
节点池 - 云容器引擎 CCE
节点池 节点池异常状态排查 节点池一直在扩容中但“操作记录”里为何没有创建节点的记录? 节点池扩容失败 节点池批量扩缩容节点时,Kubernetes Event事件存在部分缺失 云服务器无法纳管至节点池时如何修改云服务器配置
-
kubectl使用报错:Error from server (Forbidden) - 云容器引擎 CCE
对于没有IAM权限的用户,给其他用户和用户组配置权限时,无法选择用户和用户组,此时支持填写用户ID或用户组ID进行配置。 图1 配置命名空间权限 其中自定义权限可以根据需要自定义,选择自定义权限后,在自定义权限一行右侧单击新建自定义权限,在弹出的窗口中填写名称并选择规则。
-
守护进程集(DaemonSet) - 云容器引擎 CCE
这是因为节点上没有daemon=need这个标签,使用如下命令可以查询节点的标签。
-
CCE容器中域名解析的最佳实践 - 云容器引擎 CCE
可以describe这个pod查看没有启用的原因。
-
存活探针(Liveness Probe) - 云容器引擎 CCE
Liveness Probe必须轻量 Liveness Probe不能占用过多的资源,且不能占用过长的时间,否则所有资源都在做健康检查,这就没有意义了。例如Java应用,就最好用HTTP GET方式,如果用Exec方式,JVM启动就占用了非常多的资源。
-
添加集群容器子网 - 云容器引擎 CCE
如没有其他可用的容器子网,可前往VPC控制台创建。 图2 选择容器子网 单击“确定”。 父主题: 云原生网络2.0模型
-
CCE集群高可用推荐配置 - 云容器引擎 CCE
对于没有声明resources的Pod,它被调度到某个节点后,Kubernetes也不会在对应节点上扣掉这个Pod使用的资源。可能会导致节点上调度过去太多的Pod。 应用多可用区部署 您可以通过在多个可用区的节点上运行Pod,以避免应用受单个可用区故障的影响。
-
公网访问CCE部署的服务并上传OBS,为何报错找不到host? - 云容器引擎 CCE
可以考虑把该服务从网格内移除出去,因为这里的Proxy只是转发包,并没有做其他事情,如果是通过Ingress Gateway走进来的话,这个服务的灰度发布功能是不受影响的。 父主题: 存储管理
-
修复Linux内核SACK漏洞公告 - 云容器引擎 CCE
在接收端,用户B接收了段1,2,4,6,8-13,而段3,5和7丢失,B没有接收到。 通过使用ACK号,用户B告诉A,他需要段3,用户A收到B接收到2,而没有收到3,A将重新发送全部段,尽管B已经收到了4,6和8-13段。所以导致大量重复传输,性能低下。 父主题: 漏洞公告
-
集群网络模型选择及各模型区别 - 云容器引擎 CCE
VPC网络由于没有隧道封装的消耗,容器网络性能相对于容器隧道网络有一定优势。VPC网络集群由于VPC路由中配置有容器网段与节点IP的路由,可以支持集群外直接访问容器实例等特殊场景。
-
系统委托说明 - 云容器引擎 CCE
cce_cluster_agency委托说明 cce_cluster_agency委托没有Tenant Administrator系统角色,只包含CCE组件需要的云服务资源操作权限,用于生成CCE集群中组件使用的临时访问凭证。
-
CCE集群中工作负载镜像的拉取策略有哪些? - 云容器引擎 CCE
imagePullPolicy: IfNotPresent Never:只使用本地镜像,从不拉取,即使本地没有。 imagePullPolicy: Never 说明如下: 如果设置为Always ,则每次容器启动或者重启时,都会从远程仓库拉取镜像。
-
节点关键目录文件权限检查异常处理 - 云容器引擎 CCE
解决方案:节点根目录权限被修改导致paas用户没有根目录的读权限,这会导致升级时组件重启失败,建议将根目录权限修正为默认权限555。 父主题: 升级前检查异常问题排查
-
Apache containerd安全漏洞公告(CVE-2020-15257) - 云容器引擎 CCE
如果没有使用主机网络并且容器内进程不以root用户(UID为0)运行,则不涉及该漏洞。 漏洞修复方案 建议使用最小权限运行容器,对于不信任的容器进行如下限制: 禁止使用主机网络; 禁止容器内的进程以root用户运行。
-
NGINX Ingress控制器插件升级导致集群内Nginx类型的Ingress路由访问异常 - 云容器引擎 CCE
对于社区较老版本的Nginx Ingress Controller来说(社区版本v0.49及以下,对应CCE插件版本v1.x.x),在创建Ingress时没有指定Ingress类别为nginx,即annotations中未添加kubernetes.io/ingress.class: