检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
过Pod的IP地址访问。Kubernetes只提供了如何为Pod提供网络的机制,并不直接负责配置Pod网络;Pod网络的具体配置操作交由具体的容器网络插件实现。容器网络插件负责为Pod配置网络并管理容器IP地址。 当前CCE支持如下容器网络模型。 容器隧道网络:容器隧道网络在节点
创建工作负载时,您可以选择对应的命名空间,实现资源或租户的隔离。 查询工作负载时,选择对应的命名空间,查看对应命名空间下的所有工作负载。 命名空间使用实践 按照不同环境划分命名空间 一般情况下,工作负载发布会经历开发环境、联调环境、测试环境,最后到生产环境的过程。这个过程中不同环境部署的工作
linux内核导致的容器逃逸漏洞公告(CVE-2022-0492) 漏洞详情 在某些场景下linux内核cgroup v1的release_agent特性存在可以被利用在容器内逃逸到OS上的安全问题,该问题已被收录为CVE-2022-0492。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间
运维层面 集群运维能力 集群安全组配置正确性 集群资源规划合理性 租户配额是否充足 资源与业务层面 存储插件(everest)健康程度 日志采集插件(log-agent)健康程度 域名解析插件(coredns)健康程度 业务节点负载情况 业务节点状态 Pod配置健康程度 Pod负载情况 Pod运行状态
权的用户或用户组,再选择具体权限。 对于没有IAM权限的用户,给其他用户和用户组配置权限时,无法选择用户和用户组,此时支持填写用户ID或用户组ID进行配置。 图2 配置命名空间权限 其中自定义权限可以根据需要自定义,选择自定义权限后,在自定义权限一行右侧单击新建自定义权限,在弹出
集群需要通过VPC终端节点访问通用文件系统。配置VPC终端节点的方法请参见配置VPC终端节点。 SFS 3.0文件存储当前正在各region逐步上线中,部分region可能还未支持,请您耐心等待。使用SFS 3.0时,集群中需要安装2.0.9及以上版本的everest插件。 静态挂载存储的迁移
s原生接口,您可以完整的使用云容器引擎的所有功能,包括创建集群和节点,使用Kubernetes接口创建容器工作负载,使用CCE接口监控工作负载的使用数据等。 类型 子类型 说明 CCE接口 集群管理 集群管理接口,包括创建、删除集群的接口等。 通过这些接口,您可以创建集群、获取已创建集群的信息。
保障的生产集群。 正在或即将进行其他运维任务,例如Master节点3AZ改造等。 集群中存在容器引擎为Docker但OS与节点池配置不同的节点,您可以重置这部分节点后再次执行升级前检查。 请根据界面日志联系技术支持人员了解限制原因并申请解除升级限制。 父主题: 升级前检查异常问题排查
含Pod正在使用和集群预热的网卡。 操作步骤 登录CCE控制台,单击集群列表中的集群名称。 在左侧导航栏中选择“配置中心”,切换至“网络配置”页签。 查看“容器网络配置”,以default-network(默认容器子网)为例,复制容器子网的“网络ID”。 登录VPC控制台,在左侧
on级别容器成本分析报告。该视角支持用户按照集群、命名空间粒度进行部门划分,并形成部门的成本分析报告。通过部门的成本分析报告,企业管理人员可以识别成本增长趋势、部门成本对比,能制定更好的成本管理方案。 集群资源视角成本洞察:以成本运维人员的角度,着重呈现CCE集群内部从命名空间、
权的用户或用户组,再选择具体权限。 对于没有IAM权限的用户,给其他用户和用户组配置权限时,无法选择用户和用户组,此时支持填写用户ID或用户组ID进行配置。 图1 配置命名空间权限 其中自定义权限可以根据需要自定义,选择自定义权限后,在自定义权限一行右侧单击新建自定义权限,在弹出
景(默认开启),可能造成以下影响: 若恶意用户可以创建一个带有子路径卷挂载的容器,则可以访问卷外的文件和目录,包括主机文件系统上的文件和目录。 集群管理员已限制创建 hostPath 挂载的能力的集群受到的影响最严重。利用该漏洞可以在不使用 hostPath 功能的情况下进行类似
GPU插件关键参数检查异常处理 检查项内容 检查CCE GPU插件中部分配置是否被侵入式修改,被侵入式修改的插件可能导致升级失败。 解决方案 使用kubectl连接集群。 执行以下命令获取插件实例详情。 kubectl get ds nvidia-driver-installer
除,请使用kubectl get cm -o yaml -n kube-system kubeadm-config来直接获取kubeadm配置。 Kubeadm:弃用kubeadm alpha kubelet config enable-dynamic命令。 Kubeadm:kubeadm
支持minReadySeconds。 缩容时默认根据Pod uid排序随机选择删除Pod(LogarithmicScaleDown)。基于该特性,可以增强Pod被缩容的随机性,缓解由于Pod拓扑分布约束带来的问题。更多信息,请参见KEP-2185和issues 96748。 BoundS
除,请使用kubectl get cm -o yaml -n kube-system kubeadm-config来直接获取kubeadm配置。 Kubeadm:弃用kubeadm alpha kubelet config enable-dynamic命令。 Kubeadm:kubeadm
是否可以直接连接CCE集群的控制节点? CCE支持使用Kubectl工具连接集群,具体请参见通过Kubectl连接集群。 CCE不支持登录控制节点执行相关操作。 父主题: 集群运行
Key:必须以字母或数字开头,可以包含字母、数字、连字符、下划线和点,最长63个字符;另外可以使用DNS子域作为前缀,例如example.com/my-key, DNS子域最长253个字符。 Value:可以为空或者非空字符串,非空字符串必须以字符或数字开头,可以包含字母、数字、连字符、下划线和点,最长63个字符。
CCE支持在容器中使用NPU资源。 前提条件 创建NPU类型节点,具体请参见创建节点。 安装huawei-npu插件,具体请参见CCE AI套件(Ascend NPU)。 使用NPU 创建工作负载申请NPU资源,可按如下方法配置,指定显卡的数量。 kind: Deployment apiVersion:
支持minReadySeconds。 缩容时默认根据Pod uid排序随机选择删除Pod(LogarithmicScaleDown)。基于该特性,可以增强Pod被缩容的随机性,缓解由于Pod拓扑分布约束带来的问题。更多信息,请参见KEP-2185和issues 96748。 BoundS
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
