检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
支持收集CCE集群控制平面组件日志和Kubernetes审计日志,将日志从CCE控制层采集到您账号的LTS日志服务的日志流中。具体操作,请参见采集控制面组件日志和采集Kubernetes审计日志。 支持收集CCE集群Kubernetes事件,将Kubernetes事件从CCE集群内采集到
节点资源不足 当节点资源(如内存、CPU等)不足时,集群可能会驱逐部分Pod并将其调度到其他资源充足节点,从而触发容器重建。 节点重启或故障 若由于某些原因重启节点,节点上的容器可能会被销毁并在其他可用节点上重建。当节点发生故障时,集群会检测到该节点不可用,该节点上的容器将在其他可用节点上进行重建。
networking.k8s.io/access-demo2 created 通过YAML使用Egress规则 容器隧道网络模型集群中,仅1.23及以上版本集群支持Egress规则。 场景一:通过网络策略限制Pod只能访问指定地址 图3 ipBlock 目标Pod具有role=db标签,该Pod只允许访问172
可能实现容器逃逸,从而获得主机系统的访问权限。成功利用此漏洞可能会导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 判断方法 如果集群未安装CCE AI套件(NVIDIA GPU)插件或插件版本低于2.0.0,则不涉及该漏洞。 CCE AI套件(NVIDIA GPU)插件
自定义指标采集策略:开启后,云原生监控插件支持采集应用的自定义指标。您需要按照Prometheus规范在应用中提供自定义指标,并且暴露自定义指标的接口,然后在集群中使用该应用镜像部署工作负载,Prometheus会通过采集配置对这些指标进行采集。详情请参见使用云原生监控插件监控自定义指标。 对接AOM监控服务
iphers参数中添加@SECLEVEL=0字段,以启用对更多TLS版本的支持。更多详情请参见TLS/HTTPS。 登录CCE控制台,进入集群,在左侧导航栏中选择“插件中心”,单击NGINX Ingress控制器下的“管理”。 单击对应控制器实例的“编辑”按钮。 在“nginx 配置参数”中添加以下配置。
境搭建。 为什么需要使用容器 更高效的利用系统资源。 容器不需要硬件虚拟化以及运行完整操作系统等额外开销,所以对系统资源利用率更高。相比虚拟机技术,一个相同配置的主机,往往可以运行更多数量的应用。 更快速的启动时间。 容器直接运行于宿主机内核,无需启动完整的操作系统,可以做到秒级
spec 存储类 存储类决定了PVC的类型 参数名 取值范围 默认值 是否允许修改 作用范围 storageClassName 集群中存在的存储类 无 支持初始化时配置,不支持后续修改 - 存储类决定了PVC的类型,如块存储、对象存储、文件存储等。一旦指定后不允许修改 配置建议:
操作系统问题说明 低版本内核的CentOS节点反复创删应用时偶现cgroup kmem泄露问题 CCE集群IPVS转发模式下conn_reuse_mode问题说明 cgroup统计资源异常导致kubelet驱逐Pod 低版本内核的CentOS节点出现容器OOM时,偶现ext4文件系统卡死问题
即可。 PV:PV是PersistentVolume的缩写,译为持久化存储卷,描述的是一个集群里的持久化存储卷,它和节点一样,属于集群级别资源,其对象作用范围是整个Kubernetes集群。PV可以有自己的独立生命周期,不依附于Pod。 PVC:PVC是PersistentVol
标暴露端口修改为19901。 新增支持1.25集群版本 0.8.10 1.16.4 v1.17 v1.19 v1.21 v1.23 新增beta检查项ScheduledEvent,支持通过metadata接口检测宿主机异常导致虚拟机进行冷热迁移事件。该检查项默认不开启。 0.8.10
守护进程集(DaemonSet) 守护进程集(DaemonSet) DaemonSet(守护进程集)在集群的每个节点上运行一个Pod,且保证只有一个Pod,非常适合一些系统层面的应用,例如日志收集、资源监控等,这类应用需要每个节点都运行,且不需要太多实例,一个比较好的例子就是Ku
Code)来报告容器异常的原因。本文将介绍如何通过事件中打印的Exit Code进一步定位容器异常的根本原因。 查看容器异常退出状态码 您可使用kubectl连接集群,并通过以下命令查询Pod详细状态: kubectl describe pod {pod name} 在返回结果中的Exit Code字段
包年/包月转按需 创建一个包年/包月的集群或节点后,您可以将资源的计费模式转为按需计费,更加灵活地按需使用。 包年/包月转按需计费时,包年/包月的资源到期后,按需的资费模式才会生效。 前提条件 包年/包月转按需计费需要在“费用中心 > 续费管理”页面操作,只有订单状态是“使用中”的资源才能执行包年/包月转按需。
网络 集群网络地址段规划实践 集群网络模型选择及各模型区别 CCE集群实现访问跨VPC网络通信 使用VPC和云专线实现容器与IDC之间的网络通信 自建IDC与CCE集群共享域名解析 通过负载均衡配置实现会话保持 不同场景下容器内获取客户端源IP 通过配置容器内核参数增大监听队列长度
点组),同时支持必须满足和尽量满足的亲和性规则。 说明: 工作负载亲和性和反亲和性需要一定的计算时间,因此在大规模集群中会显著降低调度的速度。在包含数百个节点的集群中,不建议使用这类设置。 设置工作负载亲和/反亲和调度(podAffinity/podAntiAffinity) 亲和性规则
容器与节点时区同步 案例场景 场景一:容器与节点时区同步 场景二:容器、容器日志与节点时区同步 场景三:工作负载与节点时区同步 场景一:容器与节点时区同步 登录CCE控制台。 在创建工作负载基本信息页面,开启“时区同步”,即容器与节点使用相同时区。 图1 开启时区同步 登录节点进入容器查询容器时区是否与节点保持一致。
监控等多种数据存储场景。 标准接口:具备标准Http Restful API接口,用户必须通过编程或第三方工具访问对象存储。 数据共享:服务器、嵌入式设备、IOT设备等所有调用相同路径,均可访问共享的对象存储数据。 公共/私有网络:对象存储数据允许在公网访问,满足互联网应用需求。
storageclass.kubernetes.io/is-default-class: "true" # 指定集群中默认的StorageClass,一个集群中只能有一个默认的StorageClass parameters: csi.storage.k8s.io/csi-driver-name:
安全 安全配置概述 CCE集群安全配置建议 CCE节点安全配置建议 CCE容器运行时的安全配置建议 在CCE集群中使用容器的安全配置建议 在CCE集群中使用镜像服务的安全配置建议 在CCE集群中使用密钥Secret的安全配置建议 在CCE集群中使用工作负载Identity的安全配置建议
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
