检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
完成后,可在容器工作负载中作为文件或者环境变量使用。 密钥配置 敏感操作保护 CCE控制台支持敏感操作保护,开启后执行删除集群敏感操作时,系统会进行身份验证,进一步保证CCE的安全性。 敏感操作保护介绍 父主题: 安全
正常。 问题原因 最初建立的集群中各节点的基本配置为2U4G,且各节点上有kubelet,kube-proxy及docker等相关程序占用系统资源,导致节点可用资源低于2000m,无法满足nginx-ingress插件的要求,从而无法安装。 建议方案 请重新购买节点,节点要求(>=4U8G)。
3-r0及以上版本的集群操作步骤 登录CCE控制台,单击集群名称进入集群。 在左侧导航栏中选择“插件中心”,在右侧找到NGINX Ingress控制器插件,单击“管理”。 单击已安装实例的“编辑”,在负载均衡器配置中开启“获取客户端源IP”开关。 单击“确定”。 开启/关闭“获取客户端IP”的过程中,如
登录CCE控制台,单击集群名称进入集群。 查看集群总览页,在右边“连接信息”下证书认证一栏,单击“下载”。 图1 获取证书 在弹出的“证书获取”窗口中,根据系统提示选择证书的过期时间并下载集群X509证书。 下载的证书包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。
根据集群规模和高可用模式计费。 节点(弹性云服务器 ECS) 实例规格 包括vCPU和内存。 云硬盘 随包年/包月云服务器创建的云硬盘,其计费模式也为包年/包月。包括系统盘和数据盘。 弹性公网IP 通过CCE控制台创建的包年/包月云服务器仅支持绑定“按带宽计费”的弹性公网IP。如需使用“按流量计费”或“加入
在NVIDIA Container Toolkit v1.16.1及更早版本的环境中,攻击者通过运行一个恶意镜像,可能实现容器逃逸,从而获得主机系统的访问权限。成功利用此漏洞可能会导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 判断方法 如果集群未安装CCE AI套件(NVIDIA
ICAgent监控 华为云AOM云服务提供了基于主机的ICAgent的组件,用于采集指标、日志和应用性能数据。对于在ECS、BMS控制台直接购买的主机,您需手动安装ICAgent。对于集群节点,ICAgent会自动安装,您不用手动安装ICAgent。详情请参见安装ICAgent(华为云主机)。
docker info |grep "Cgroup" 显示如下: Cgroup Driver: cgroupfs 表明容器引擎使用的cgroup系统为cgroupfs,并未使用systemd cgroup,不受此漏洞影响。 漏洞修复方案 华为云CCE集群未开启runc的systemd
容器资源(CPU、内存)配额。 表3 custom 参数 是否必选 参数类型 描述 feature_gate 否 String 特性开关,管理开启beta特性 multiAZBalance 否 Bool 多可用区部署 multiAZEnabled 否 Bool 是否多可用区部署,
ELB对接Pod需要通过节点NodePort转发 使用独享型ELB时可直接对接Pod 使用共享型ELB对接Pod需要通过节点NodePort转发 容器IP地址管理 需设置单独的容器网段 按节点划分容器地址段,动态分配(地址段分配后可动态增加) 需设置单独的容器网段 按节点划分容器地址段,静态分配(节
登录CCE控制台,进入集群,在不可用节点所在行单击“监控”。 单击“监控”页签顶部的“查看更多”,前往运维管理页面查看历史监控记录。 当节点cpu和内存负载过高时,会导致节点网络时延过高,或系统OOM,最终展示为不可用。 解决方案: 建议迁移业务,减少节点中的工作负载数量,并对工作负载设置
Pod的重建,重建的Pod可能会调度到一个新的节点上,且VPA无法保证重建的Pod调度成功。 只有由副本控制管理器(例如Deployment、StatefulSet等)管理的Pod才会进行资源动态更新,独立运行的Pod不支持资源动态更新。 目前VPA不能和监控CPU和内存度量的Horizontal
Pod被删除时这些Token将自动失效。详情请参见Token安全性提升说明。 如果您在业务中需要一个永不过期的Token,您也可以选择手动管理ServiceAccount的Secret。尽管存在手动创建永久ServiceAccount Token的机制,但还是推荐使用TokenR
ELB服务中的证书ID,作为HTTPS服务器证书。 获取方法:在CCE控制台,单击顶部的“服务列表 > 网络 > 弹性负载均衡”,并选择“证书管理”。在列表中复制对应证书名称下的ID即可。 kubernetes.io/elb.tls-certificate-ids String EL
能力与运维权限一致。 admin(运维权限):对全部命名空间下大多数资源的读写权限,对节点、存储卷,命名空间和配额管理的只读权限。 cluster-admin(管理员权限):对全部命名空间下所有资源的读写权限。 drainage-editor:节点排水操作权限,可执行节点排水。
您已经创建好一个集群,并且在该集群中安装CCE容器存储(Everest)。 您已经创建好一块云硬盘,并且云硬盘满足以下条件: 已有的云硬盘不可以是系统盘、专属盘或共享盘。 云硬盘模式需选择SCSI(购买云硬盘时默认为VBD模式)。 云硬盘的状态可用,且未被其他资源使用。 云硬盘的可用区需
于不同账户下时,选择该项。 当前账户 对端项目 当账户选择“当前账户”时,系统默认填充对应的项目,无需您额外操作。 比如vpc-demo1和vpc-demo2均为账户A下的资源,并且位于区域A,那么此处系统默认显示账户A下,区域A对应的项目。 - 对端VPC 当账户选择“当前账户”时,该项为必选参数。
比较通用的一种方式,本方案中也是选择邮件作为审批方式。 在“Manage Jenkins”,选择“System”。 配置邮箱基本信息,填写管理员邮箱地址。 其中password不是邮箱密码,而是邮箱授权码。 凭据配置 为了保证安全性,K8S 集群都必须通过 https 来访问。因此,需要在
# OBS桶的名称 fsType: s3fs # obsfs表示并行文件系统;s3fs表示对象桶 volumeAttributes: everest.io/obs-volume-type: STANDARD
日志无法上报,otel组件标准输出报错:log's quota has full 采集容器内日志,且采集目录配置了通配符,日志无法采集 fluent-bit容器组一直重启 节点OS为Ubuntu 18.04时出现日志无法采集 采集Job日志时出现日志无法采集 云原生日志采集插件运行正常,部分日志策略未生效 log-a
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
