检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
基于用户提供的信息,该集群被识别为核心重点保障的生产集群。 正在或即将进行其他运维任务,例如Master节点3AZ改造等。 集群中存在容器引擎为Docker但OS与节点池配置不同的节点,您可以重置这部分节点后再次执行升级前检查。 请根据界面日志联系技术支持人员了解限制原因并申请解除升级限制。 父主题: 升级前检查异常问题排查
大值) 举例:当前容器子网为192.168.0.1/20,可用地址为4096个,单节点容器部署密度最大为35个,那么net.ipv4.neigh.default.gc_thresh3建议配置为4096*35=143360个。 VPC网络模式集群: net.ipv4.neigh.default
Bool 多可用区部署 multiAZEnabled 否 Bool 是否多可用区部署,默认为false,如果为true,则强制跨可用区部署,若为false,则优先跨可用区部署。 npc 是 object 表5 npc node-problem-controller的配置 tolerations
云容器引擎搭配容器镜像服务提供DevOps持续交付能力,能够基于代码源自动完成代码编译、镜像构建、灰度发布、容器化部署,实现一站式容器化交付流程,并可对接已有CI/CD,完成传统应用的容器化改造和部署。 优势 高效流程管理 更优的流程交互设计,脚本编写量较传统CI/CD流水线减少80%以上,让CI/CD管理更高效。
-a查看内核版本号 规避和消减措施 CCE集群节点不受该漏洞影响。对于自建的K8s集群,建议用户对工作负载: 最小权限运行容器 根据社区提供的配置方法配置seccomp 相关链接 https://blog.aquasec.com/cve-2022-0185-linux-kernel-co
登录CCE控制台,单击集群名称,进入集群。 在左侧选择“工作负载”,单击工作负载名称。 在“安全组策略”页签下,单击“创建”。 根据界面提示,配置参数, 具体如表1所示。 表1 配置参数 参数名称 描述 示例 安全组策略名称 输入安全组策略名称。 请输入1-63个字符,以小写字母开头,由小写字母、数字
运维层面 集群运维能力 集群安全组配置正确性 集群资源规划合理性 租户配额是否充足 资源与业务层面 存储插件(everest)健康程度 日志采集插件(log-agent)健康程度 域名解析插件(coredns)健康程度 业务节点负载情况 业务节点状态 Pod配置健康程度 Pod负载情况 Pod运行状态
呈现本年、本季度、本月成本详情,以及分别和上年、上季、上月的成本对比趋势 集群维度统计、命名空间维度统计对应部门配置中关联的集群、命名空间的成本统计,不包含部门中的公共成本。如下示例中,部门中只配置了命名空间的划分方式,只呈现命名空间成本统计。 图4 查看命名空间分析 父主题: 成本洞察
读写:可修改容器路径中的数据卷,容器迁移时新写入的数据不会随之迁移,会造成数据丢失。 其余工作负载参数都配置完成后,单击“创建工作负载”。 通过kubectl使用临时路径 请参见通过kubectl连接集群配置kubectl命令。 创建并编辑nginx-emptydir.yaml文件。 vi nginx-emptydir
StorageClass动态创建PVC跨区域使用OBS桶。 操作步骤 创建名为paas-obs-endpoint的配置项,配置OBS所在区域和Endpoint。 配置项名称固定为paas-obs-endpoint,命名空间固定为kube-system。 区域名称和Endpoint
没有针对性的检查设置release_agent文件的进程是否具有正确的权限。在受影响的OS节点上,工作负载使用了root用户运行进程(或者具有CAP_SYS_ADMIN权限),并且未配置seccomp时将受到漏洞影响。 CCE集群受该漏洞影响的范围如下: x86场景EulerOS
可调度,然后安全地将节点上所有符合节点排水规则说明的Pod驱逐,后续新建的Pod都不会再调度到该节点。 在节点故障等场景下,该功能可帮助您快速排空节点,将故障节点进行隔离,原节点上被驱逐的Pod将会由工作负载controller转移到其他正常可调度的节点上。 为保障排水期间业务可
检查集群是否可以正常创建节点。 检查步骤 登录CCE控制台,单击集群名称进入集群。 在导航栏中选择“节点管理”,并切换至“节点”页签,单击“创建节点”。节点配置详情请参见创建节点。 图1 创建节点 解决方案 若集群升级后您的集群无法创建节点,请联系技术支持人员。 父主题: 升级后验证
)无法在x86架构节点上运行,反之亦然。这就容易造成工作负载在拥有x86与ARM节点的集群上部署失败。 解决方案 解决在不同架构的节点使用镜像创建工作负载通常有两种方法: 创建工作负载的时候通过亲和性设置,使用ARM架构镜像时让Pod调度到ARM架构的节点上,使用x86架构镜像时让Pod调度到x86架构的节点上。
rce指标的Pod水平自动扩缩容特性进阶至GA。该特性允许HPA根据Pod中各个容器的资源使用情况来配置自动伸缩,而不仅是Pod的整体资源使用情况,便于为Pod中最重要的容器配置扩缩容阈值。详细使用方式请参考容器资源指标。 传统ServiceAccount令牌清理器(GA) 在Kubernetes1
rce指标的Pod水平自动扩缩容特性进阶至GA。该特性允许HPA根据Pod中各个容器的资源使用情况来配置自动伸缩,而不仅是Pod的整体资源使用情况,便于为Pod中最重要的容器配置扩缩容阈值。详细使用方式请参考容器资源指标。 传统ServiceAccount令牌清理器(GA) 在Kubernetes1
存储管理最佳实践 本文主要为您介绍存储管理相关实践。 场景分类 相关最佳实践 存储扩容实践 存储扩容 存储配置实践 挂载第三方租户的对象存储 通过StorageClass动态创建SFS Turbo子目录 自定义StorageClass 使用延迟绑定的云硬盘(csi-disk-topology)实现跨AZ调度
漏洞影响。 漏洞处理方案 您可以禁用 kubelet 上的VolumeSubpath feature gate,并删除任何使用subPath功能的现有 Pod。 以root用户登录CCE Node节点。 修改kubelet配置参数,关闭VolumeSubpath特性。 vi /o
zlh-test servicePort: 80 表1 关键参数说明 参数 参数类型 描述 host String 域名配置。 若不配置,会自动匹配path。 path String 匹配路径。 ingress.beta.kubernetes.io/url-match-mode
排水任务检查异常处理 检查项内容 检查到集群中存在未完成的排水任务,此时升级可能会导致升级完成后触发排水动作,将运行中的Pod进行驱逐。 解决方案 配置Kubectl命令,具体请参见通过kubectl连接集群。 查看是否存在排水任务,以下为正常回显: kubectl get drainage
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
