检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
4-r0及以上集群版本,由DaemonSet管理的Pod,在不使用强制排水时的默认操作为忽略。 Pod中挂载了emptyDir类型的volume 驱逐 放弃排水 由kubelet直接管理的静态Pod 忽略 忽略 节点排水过程中可能会对Pod执行的操作如下: 删除:Pod会从当前节点上删除,不会再重新调度至其他节点。
则转发无法生效。 目标服务名称:请选择已有Service或新建Service。页面列表中的查询结果已自动过滤不符合要求的Service。 目标服务访问端口:可选择目标Service的访问端口。 域名:无需填写 路径匹配规则:正则匹配 路径:/ 目标服务名称:nginx 目标服务访问端口:80
化存储在宿主机上的目录,比如一个NFS的挂载目录。 PVC:PVC描述的是Pod所希望使用的持久化存储的属性,比如,Volume存储的大小、可读写权限等等。 Kubernetes管理员设置好网络存储的类型,提供对应的PV描述符配置到Kubernetes,使用者需要存储的时候只需要
容器访问内网不通的定位方法 如前所述,从容器中访问内部网络不通的情况可以按如下路径排查: 查看要访问的对端服务器安全组规则,确认是否允许容器访问。 容器隧道网络模型需要放通容器所在节点的IP地址 VPC网络模型需要放通容器网段 云原生网络2.0需要放通容器所在子网网段 查看要访问的对端服务
ServiceMonitor:定义针对Service的自定义指标采集策略,详情请参见管理监控采集任务。 关于ServiceMonitor的创建方式请参见配置Service Monitor监控自定义指标。 PodMonitor:定义针对Pod的自定义指标采集策略,详情请参见管理监控采集任务。
Readiness Probe的工作原理 通过Endpoints就可以实现Readiness Probe的效果,当Pod还未就绪时,将Pod的IP:Port从Endpoints中删除,Pod就绪后再加入到Endpoints中,如下图所示。 图1 Readiness Probe的实现原理 Exec
创建弹性负载均衡ELB后,使用default命名空间创建80端口的http监听,在CCE中只允许在本命名空间下创建同一端口的其它ingress(实际转发策略可根据域名、service来区分);所以出现客户侧在其它命名空间无法创建相同端口的ingress的情况(会提示端口冲突)。 解决方法 可以使用y
DNS负责集群的域名解析任务,修改不当可能会导致集群解析出现异常。请做好修改前后的测试验证。 为CoreDNS配置存根域 集群管理员可以修改CoreDNS Corefile的ConfigMap以更改服务发现的工作方式。 若集群管理员有一个位于10.150.0.1的Consul域名
C权限。 解决方案 使用华为云账号或者具有管理员权限的账号登录IAM管理控制台,在左侧导航栏中选择“用户”。 在IAM用户页签查找出现报错的用户名,单击用户名右侧的“授权”。 选择相应的权限后,单击“确定”,提交授权。 当前账号未被授予该操作所需的IAM权限 问题现象 当您访问控
节点规格(flavor)说明 不同区域支持的节点规格(flavor)不同,且节点规格存在新增、售罄下线等情况,建议您在使用前登录CCE控制台,在创建节点界面查看您需要的节点规格是否支持。 CCE Standard集群 CCE集群只支持2U4G以上的规格,建议您通过控制台查询节点规格,具体节点规格名称请参见规格清单。
容器使用SCSI类型云硬盘偶现IO卡住如何解决? 问题描述 容器使用SCSI类型的云硬盘存储,在CentOS节点上创建和删除容器触发磁盘频繁挂载卸载的场景,有概率会出现系统盘读写瞬时冲高,然后系统卡住的问题,影响节点正常工作。 出现该问题时,可在dmesg日志中观察到: Attached
ernetes即将移除Dockershim。CCE计划未来移除对Docker容器引擎的支持,建议您将节点容器引擎从Docker迁移至Containerd,详情请参见将节点容器引擎从Docker迁移到Containerd。 表1 容器引擎对比 对比 Containerd Docker
漏洞影响 攻击者利用runc的systemd cgroup特性进行攻击,可通过在Pod注解中注入恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload),进而在宿主机中执行任意操作。 CCE集群未使用runc的systemd cgroup特性,因此不受此漏洞影响。
Ingress关联的Service配置自定义的Header,${svc_name}即对应的Service名称。 格式说明:Json字符串,如 {"key": "test", "values": ["value1", "value2"]} key/value表示自定义Header的键值对,value最多可以配置8个。
则转发无法生效。 目标服务名称:请选择已有Service或新建Service。页面列表中的查询结果已自动过滤不符合要求的Service。 目标服务访问端口:可选择目标Service的访问端口。 域名:无需填写 路径匹配规则:前缀匹配 路径:/ 目标服务名称:nginx 目标服务访问端口:80
(可选)登录SWR管理控制台,选择左侧导航栏的“组织管理”,单击页面右上角的“创建组织”,创建一个组织。 如已有组织可跳过此步骤。 在左侧导航栏选择“我的镜像”,单击右侧“客户端上传”,在弹出的页面中单击“生成临时登录指令”,单击复制登录指令。 在集群节点上执行上一步复制的登录指令,登录成功会显示“Login
(可选)登录SWR管理控制台,选择左侧导航栏的“组织管理”,单击页面右上角的“创建组织”,创建一个组织。 如已有组织可跳过此步骤。 在左侧导航栏选择“我的镜像”,单击右侧“客户端上传”,在弹出的页面中单击“生成临时登录指令”,单击复制登录指令。 在集群节点上执行上一步复制的登录指令,登录成功会显示“Login
ernetes/kubelet/pki/目录。 备份节点上的证书文件kubelet-server-current.pem、kubelet-client-current.pem。 删除节点上残留的kubelet-server-*证书文件。 link_target="$(basename
ues/71411 该漏洞的影响范围如下: 集群启用了扩展API server,并且kube-apiserver与扩展API server的网络直接连通。 集群对攻击者可见,即攻击者可以访问到kube-apiserver的接口,如果您的集群是部署在安全的私网内,那么不会有影响。 集群开放了pod
目标子网之间的连通性。 创建集群VPC和目标VPC的对等连接后,只需要建立节点子网和目标子网之间的路由。 VPC网络 在VPC网络中,使用VPC路由功能来转发容器的流量。集群VPC的网段与容器网段不能重叠,二者是独立存在的。 从Pod访问不同VPC下的其他服务时,不仅需确保节点子
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
