检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用PrometheusRules配置普罗监控与告警规则 Prometheus具有PrometheusRule的能力,PrometheusRules提供了一种用于监控和警报的规则语言,能够方便用户更好的使用Prometheus查询监控指标,配置基于PromQL的告警规则。 当前云原生监控插件仅支持开启
内的容器则无法解析。 适用场景 VPC内的容器无法进行正常DNS解析的情况。 解决方案 由于本案例涉及的是内网域名解析,按照内网域名解析的规则,需要确保VPC内的子网DNS设置成的云上DNS,具体以内网DNS服务的控制台界面提示为准。 本案例的子网中已经完成该设置,其中用户可以在
UDP协议。 源对象命名空间 选择允许哪个命名空间的对象访问。不填写表示和当前策略属于同一命名空间。 源对象Pod标签 允许带有这个标签的Pod访问,不填写表示命名空间下全部Pod。 出方向规则:单击添加出方向规则,参数设置请参见表2。 表2 添加出方向规则 参数 参数说明 协议端口
Turbo集群)安全组规则 安全组规则的修改和删除可能会影响集群的正常运行,请谨慎操作。如需修改安全组规则,请尽量避免对CCE运行依赖的端口规则进行修改。 在集群中添加新的安全组规则时,需要确保新规则与原有规则不会发生冲突,否则可能导致原有规则失效,影响集群正常运行。 VPC网络模型安全组规则
kind: LogConfig metadata: name: test-log-01 # 规则名称按需修改 namespace: kube-system # 采集规则命名空间,固定为kube-system spec: inputDetail: # 输入配置
Ingress配置高级转发规则 Ingress支持多样化的转发规则,可以根据HTTP请求方法、HTTP请求头、查询字符串、网段、Cookie等请求参数匹配不同的监听器(每个监听器对应一个ELB访问端口),便于灵活地分流业务,合理分配资源。 图1 高级转发规则示意图 前提条件 已创建一个CCE
为Nginx Ingress配置URL重写规则 在一些使用场景中后端服务提供访问的URL与Ingress规则中指定的路径不同,而Ingress会将访问路径直接转发到后端相同路径,如果不进行URL重写配置,所有访问都将返回404。例如,Ingress规则中的访问路径设置为/app/demo
用相关的告警规则,请确保节点故障检测插件(NPD)已安装且正常运行。 登录CCE控制台,单击集群名称进入一个已有的集群。 在左侧导航栏选择“告警中心”,切换至“告警规则 > 自定义告警规则”页签,单击“创建告警规则”。 设置告警规则,在创建告警规则面板填写配置。 规则类型:选择“
集群权限仅针对与集群相关的资源(如集群、节点等)有效,您必须确保同时配置了命名空间权限,才能有操作Kubernetes资源(如工作负载、Service等)的权限。 使用CCE控制台查看集群时,显示情况依赖于命名空间权限的设置情况,如果没有设置命名空间权限,则无法查看集群下的资源,详情请参见CCE控制台的权限依赖。
forward . 10.150.0.1 } 单击“确定”完成配置更新。 在左侧导航栏中选择“配置与密钥”,在“kube-system”命名空间下,查看名为coredns的配置项数据,确认是否更新成功。 修改CoreDNS Hosts配置 在CoreDNS中修改hosts后,可
在CCE控制台可以授予用户或用户组命名空间权限,可以对某一个命名空间或全部命名空间授权,CCE控制台默认提供如下ClusterRole。 view(只读权限):对全部或所选命名空间下大多数资源的只读权限。 edit(开发权限):对全部或所选命名空间下多数资源的读写权限。当配置在全部命名空间时能力与运维权限一致。
户组配置命名空间级别的权限。考虑到安全,建议最小化用户的访问权限。 如果主账号下需要配置多个IAM用户,应合理配置子用户和命名空间的权限。 配置集群权限请参考集群权限(IAM授权)。 设置命名空间权限请参考命名空间权限(Kubernetes RBAC授权)。 配置集群命名空间资源配额限制
影响。 策略规则 单击在弹出的窗口中设置伸缩策略参数: 类型:可选择“指标触发”(参见表2)或“周期触发”(参见表3)。选择类型后,可设置不同的触发条件及动作。 是否启用:可选择启用或关闭该策略规则。 填写完成上述参数,单击“确定”,您可以在列表中查看添加的策略规则。 表2 指标触发类型规则
Ingress是Kubernetes中的一种资源对象,用来管理集群外部访问集群内部服务的方式。您可以通过Ingress资源来配置不同的转发规则,从而根据转发规则访问集群内Pod。本文以Nginx工作负载为例,为您介绍如何使用控制台创建Nginx Ingress。 前提条件 Ingress为
PVC资源名称,指定后不允许修改 命名空间 PVC所属命名空间 参数名 取值范围 默认值 是否允许修改 作用范围 namespace 集群中存在的命名空间 无 支持初始化时配置,不支持后续修改 - 命名空间为资源的隔离维度,一旦指定后不允许修改 配置建议: 建议按照业务、部门等归属合理划分命名空间,避免
在界面右侧的安全组列表中找到集群的安全组。单击“入方向规则”页签,单击“添加规则”,添加入方向规则如下。 集群类型 ELB类型 放通安全组 协议端口 放通源地址网段 CCE Standard 共享型ELB 节点安全组,名称规则默认是{集群名}-cce-node-{随机ID} 如果
可以获取集群中所有命名空间的密钥。 2. 漏洞CVE-2021-25746:用户有权限可以在创建/更新ingress时,利用‘.metadata.annotations’字段,获取到ingress-controller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。 表1 漏洞信息
)。 集群显示情况依赖于命名空间权限的设置情况,如果没有设置命名空间权限,则无法查看集群下的资源。 如果您设置了全部命名空间的view权限,则可以查看到对应集群的全部命名空间下的资源,但密钥 ( Secret )除外,密钥 ( Secret )需要在命名空间权限下设置admin或者edit权限才能查看。
为Nginx Ingress配置重定向规则 配置永久重定向规则 如果您想将访问请求永久重定向至某个目标网址(状态码为301),您可以通过nginx.ingress.kubernetes.io/permanent-redirect注解进行配置。例如将所有内容永久重定向到www.example
Controller就会将其中定义的转发规则写入到Nginx的配置文件(nginx.conf)中。 内置的Nginx组件进行reload,加载更新后的配置文件,完成Nginx转发规则的修改和更新。 在流量访问集群时,首先被已创建的负载均衡实例转发到集群内部的Nginx组件,然后Nginx组件再根据转发规则将其转发至对应的各个工作负载。