检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
网络模型对比。 节点默认安全组 显示集群节点默认安全组。您可以选择自定义的安全组作为集群默认的节点安全组,但是需要注意放通指定端口来保证正常通信。 如需要自定义配置安全组规则,修改后的安全组只作用于新创建的节点和新纳管的节点,存量节点需要手动修改节点安全组规则。 访问集群外地址时保留原有Pod
AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 To
71 检查集群是否满足滚动升级条件 检查到您的集群暂时不满足滚动升级条件。 72 轮转证书文件数量检查 检查您节点上的证书数量过多(>1000),由于升级过程中会批量处理证书文件,证书文件过多可能导致节点升级过慢,节点上Pod被驱逐等。 父主题: 升级前检查异常问题排查
已有的Pod。 若需要重新设置污点时,可执行kubectl taint node [node] key:[effect]-命令去除污点。 安全驱逐节点上的工作负载。 kubectl drain [node] 其中,[node]为待转移工作负载所在节点的IP。 在左侧导航栏中选择“工作负载
作为审批方式。 在“Manage Jenkins”,选择“System”。 配置邮箱基本信息,填写管理员邮箱地址。 其中password不是邮箱密码,而是邮箱授权码。 凭据配置 为了保证安全性,K8S 集群都必须通过 https 来访问。因此,需要在 Jenkins 上配置访问 K8S
authenticatingProxy.ca Base64编码 无 允许 CCE Standard/CCE Turbo 客户端证书 认证模式为 authenticating_proxy 时,指定代理根证书签发的客户端证书 参数名 取值范围 默认值 是否允许修改 作用范围 Authentication.authenticatingProxy
CloudShell基于VPCEP实现,在CloudShell中使用kubectl访问集群需要在集群控制节点的安全组(安全组名称:集群名称-cce-control-随机数)中放通5443端口。5443端口默认对所有网段放通,如果您对安全组做过加固,当出现在CloudShell中无法访问集群时,请检查5443端口是否放通了198
ELB Ingress高级配置示例 为ELB Ingress配置HTTPS证书 更新ELB Ingress的HTTPS证书 为ELB Ingress配置服务器名称指示(SNI) 为ELB Ingress配置多个转发策略 为ELB Ingress配置HTTP/2 为ELB Ingress配置HTTPS协议的后端服务
针对故障和潜在风险,给出风险等级并提供修复建议 使用场景 运维对集群做变更前的集群状况检测,可随时主动触发健康诊断 支持运维的定时巡检,可设置定时执行时间,定期检查集群风险 集群诊断健康提炼了运维专家提供的高频故障案例,分别从如下方面进行检查: 维度 检查项 运维层面 集群运维能力 集群安全组配置正确性
访问不通,需要确认对端资源的安全组配置是否能够允许容器所在节点访问。 云原生网络2.0 云原生网络2.0模型下,容器直接从VPC网段内分配IP地址,容器网段是节点所在VPC的子网,容器与VPC内其他地址天然能够互通。如果访问不通,需要确认对端资源的安全组配置是否能够允许容器网段访问。
数据共享:多台服务器可挂载相同的文件系统,数据可以共享操作和访问。 私有网络:数据访问必须在数据中心内部网络中。 安全隔离:直接使用云上现有IAAS服务构建独享的云文件存储,为租户提供数据隔离保护和IOPS性能保障。 应用场景:适用于多读多写(ReadWriteMany)场景下的各种工作负载(D
master 重要 检查集群删除控制节点安全组是否成功。 删除控制节点网卡安全组失败 Failed to delete the security group of port 重要 检查集群删除控制节点网卡安全组是否成功。 删除集群ENI/SubENI安全组失败 Failed to delete
容器中挂载点的权限设置方法,请参见为Pod或容器配置安全性上下文。 主机扩展路径 仅“主机路径”类型需要填写 通过实例的ID或者容器的名称扩展主机路径,实现同一个主机路径下区分来自不同容器的挂载。 会在原先的“卷目录/子目录”中增加一个三级目录。使用户更方便获取单个Pod输出的文件。 None:不配置拓展路径。
cannot connect to Tiller Helm模板从节点上的“.Kube/config”路径中读取配置证书和Kubernetes进行通讯,出现上述错误信息说明kubectl配置有误,请重新对接kubectl,具体请参见使用kubectl连接集群。 对接云存储后,存储未创建成功。
双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。 服务器证书:使用HTTPS协
443。 证书来源:选择“ELB服务器证书”。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 后端协议:选择“HTTPS”。 前端协议:“HTTPS” 对外端口:443 证书来源:ELB服务器证书 服务器证书:cert-test
服务端证书是否被客户端信任的CA所签发,且证书中的SAN是否与客户端实际访问的IP地址或DNS域名匹配。 当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时,您可以将客户端可直接访问的IP地址或者DNS域名签入集群服务端证书,以支持客户端开启双向认证,提高安全性。典型
是否允许在pod中配置使用特权容器 配置建议: 如用户出于安全原因,严格禁止使用特权容器,可以选择禁用 禁用特权容器会使已经配置了特权容器的业务无法正常下发,请排查确认集群所有相关业务均不涉及使用特权容器后再禁用 允许匿名请求 是否启用针对 API 服务器的安全端口的匿名请求 参数名 取值范围 默认值
对外端口:ELB监听器端口,HTTPS协议的端口默认为443。 证书来源:选择“ELB服务器证书”。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 高级配置:添加高级配置,选择“开启HTTP2”,状态设置为“开启”。
插件高可用部署 应用场景 CCE提供了多种插件扩展集群云原生能力,涵盖了容器调度与弹性、云原生可观测、容器网络、容器存储、容器安全等方向,插件通过Helm模板方式部署,将插件中的工作负载部署至集群的工作节点。 随着插件使用的普及化,业务对插件的稳定性、可靠性保证已成为基本诉求。目
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
