检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
签名公钥:CCE集群的jwks,获取方法请参见步骤一:获取CCE集群的签名公钥。 身份转换规则 身份映射规则是将工作负载的ServiceAccount和IAM用户做映射。 例如在集群default命名空间下创建一个名为oidc-token的ServiceAccount,映射到demo用
键配置常用的告警规则。详情请参见告警中心概述。 云原生成本中心 支持部门维度、集群维度、命名空间维度的成本和资源画像,并通过工作负载资源推荐等优化手段协助企业IT成本管理人员实现容器集群的提效降本诉求。详情请参见云原生成本治理概述。 权限管理 支持IAM授权和命名空间授权(RBAC),详情请参见CCE权限概述。
否能从Pod访问ECS。其中,10.1.1.24表示被访问ECS的IP地址。 ping 10.1.1.24 如果访问不通,请检查ECS安全组“入方向规则”中是否包含集群节点子网和容器网段。若没有请添加相关规则,您需要添加相应的安全组规则,具体请参见添加安全组规则。 Pod有pin
DNSCache、CoreDNS,最终以TCP协议请求VPC内DNS服务器。 VPC内DNS服务器对TCP协议支持有限,如果您使用了NodeLocal DNSCache,您需要修改CoreDNS配置,让其总是优先采用UDP协议与上游DNS服务器进行通信,避免解析异常。建议您使用以下方式修改CoreDNS配置文件。
25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本 配置转发规则优先级 Ingress使用同一个ELB监听器时,支持按照以下规则进行转发规则优先级排序: 不同Ingress的转发规则:按照“kubernetes.io/elb.ingress-order”注解的优
计费项说明 适用的计费模式 计费公式 弹性云服务器 ECS(节点) 实例规格费用:购买集群节点时需保证规格vCPU ≥ 2核且内存 ≥ 4GiB。 计费因子:vCPU和内存,不同规格的实例类型提供不同的计算和存储能力。 大部分节点关机后不再收费,特殊ECS实例(包含本地硬盘的实例,如磁盘
云服务配额:使用CCE时也会使用其他云服务,包括弹性云服务器、云硬盘、虚拟私有云、弹性负载均衡、容器镜像服务等。如果当前资源配额限制无法满足使用需要,您可以提交工单申请扩大配额。 集群配额:集群中支持设置命名空间的配额,可限制命名空间下创建某一类型对象的数量以及对象消耗计算资源(
名,其DNS请求都将指向forward指定的 DNS 服务器地址,这里“forward . /etc/resolv.conf”里面第一个“.”代表所有域名,后面“/etc/resolv.conf”表示使用节点的域名解析服务器。 通常要解析特定外部域名时,可以单独添加配置项,执行如
通过预热机制优化CCE Turbo集群SubENI网卡启动速度。 支持ELB类型service配置后端服务器权重。 CCE集群支持跨集群部署服务。 CCE Turbo集群使用虚拟机节点场景下支持在离线混部功能。 增强安全容器在反复创删场景下的可靠性。 修复部分安全问题。 v1.23
通过预热机制优化CCE Turbo集群SubENI网卡启动速度。 支持ELB类型service配置后端服务器权重。 CCE集群支持跨集群部署服务。 CCE Turbo集群使用虚拟机节点场景下支持在离线混部功能。 增强安全容器在反复创删场景下的可靠性。 修复部分安全问题。 v1.23
证书来源:支持TLS密钥和ELB服务器证书。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 前端协议:“HTTP” 对外端口:80 重定向至HTTPS:开启 对外端口:443 证书来源:ELB服务器证书 服务器证书:cert-test
密钥对用于远程登录节点时的身份认证。若没有密钥对,可单击选项框右侧的“创建密钥对”来新建,创建密钥对操作步骤请参见创建密钥对。 使用镜像密码(当节点类型为弹性云服务器虚拟机或物理机,且操作系统选择私有镜像时支持) 保留所选择镜像的密码。为了保证您的正常使用,请确保所选择镜像中已经设置了密码。 安装前执行脚本:
请以华为云管理控制台显示为准。 完成本实践所需的资源如下: 表1 资源和成本规划 资源 资源说明 数量 费用(元) 弹性云服务器ECS 建议选择按需计费。 虚拟机类型:通用计算增强型 节点规格:4核 | 8GiB 操作系统:Ubuntu 22.04 系统盘:40GiB | 通用型SSD
如果已启用DNSConfig自动注入: 在左侧导航栏中选择“命名空间”。 检查哪些命名空间存在node-local-dns-injection=enabled的标签,并删除标签,操作步骤请参见管理命名空间标签。 删除上述命名空间中的Pod并重建。 如果未启用DNSConfig自动注入:
单击“确定”。 请确认选择的安全组设置了正确的端口规则,否则将无法成功创建节点。安全组需要满足的端口规则根据集群类别存在差异,详情请参见集群安全组规则配置。 新安全组只对新创建或纳管的节点生效,存量节点需要手动修改节点安全组规则,即使对存量节点进行重置,也仍会使用原安全组。如需批
等待客户端请求超时时间:如果在规定的时间内客户端没有发送完请求头,或body体数据发送间隔超过一定时间,负载均衡会自动关闭连接。 等待后端服务器响应超时时间:向后端服务器发送请求后,如果在一定时间内没有收到响应,负载均衡将返回504错误码。 前提条件 已创建一个CCE Standard或CCE
英文字母、数字和中划线(-),并以小写英文字母开头,小写英文字母或数字结尾。 命名空间:选择工作负载的命名空间,默认为default。您可以单击后面的“创建命名空间”,命名空间的详细介绍请参见创建命名空间。 实例数量:填写实例的数量,即工作负载Pod的数量。 容器运行时:CCE
当按需节点池中的节点转成包年/包月后,该节点不支持弹性缩容。 按需节点转包年/包月 按需计费节点绑定的资源(云硬盘、弹性公网IP)可能不支持同步变更计费模式,详情请参见弹性云服务器ECS按需转包年/包月说明。 按需节点池中的节点转成包年/包月时,请在节点列表中找到目标节点并单击“更多>开启节点缩容保护”,然后再进行转包年/包月操作。
可以获取集群中所有命名空间的密钥。 2. 漏洞CVE-2021-25746:用户有权限可以在创建/更新ingress时,利用‘.metadata.annotations’字段,获取到ingress-controller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。 表1 漏洞信息
设置容器健康检查 操作场景 健康检查是指容器运行过程中,根据用户需要,定时检查容器健康状况。若不配置健康检查,如果容器内应用程序异常,Pod将无法感知,也不会自动重启去恢复。最终导致虽然Pod状态显示正常,但Pod中的应用程序异常的情况。 Kubernetes提供了三种健康检查的探针:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
