检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
某类应用部署到某些特定的节点,确保关键应用总是运行在最优的硬件或配置上。 不同应用部署到不同的节点,有助于隔离应用,防止一个应用的问题影响到其他应用。 您可以使用以下方式来选择Kubernetes对Pod的调度策略: 表1 工作负载调度策略 调度策略 YAML字段定义 说明 参考文档 节点选择 nodeSelector
新建节点检查 检查内容 检查集群是否可以正常创建节点。 检查步骤 登录CCE控制台,单击集群名称进入集群。 在导航栏中选择“节点管理”,并切换至“节点”页签,单击“创建节点”。节点配置详情请参见创建节点。 图1 创建节点 解决方案 若集群升级后您的集群无法创建节点,请联系技术支持人员。
应的DNS域名;这样Pod之间就可以互相访问,达到实例间发现和访问的效果。 Headless Service使用场景 当某个工作负载的多个Pod之间没有任何区别时,可以使用普通Service,利用集群kube-proxy实现Service的负载均衡,例如常见的无状态应用Nginx。
弹性规格:适用于业务用量波动较大的场景,按实际使用量收取每小时使用的容量费用。v1.21.10-r10、v1.23.8-r10、v1.25.3-r10及以上版本集群支持使用弹性规格。 固定规格:适用于业务用量较为稳定的场景,按固定规格折算收取每小时使用的容量费用。 独享型负载均衡器独有字段。
在集群内的容器或节点上都能够访问Service。 创建一个Pod并进入到容器内,使用curl命令访问Service的IP:Port或域名,如下所示。 其中域名后缀可以省略,在同个命名空间内可以直接使用nginx-clusterip:8080访问,跨命名空间可以使用nginx-clusterip.default:8080访问。
选择是否使用NLM协议在服务器上锁文件。当选择nolock选项时,锁对于同一主机的应用有效,对不同主机不受锁的影响。 timeo 600 NFS客户端重传请求前的等待时间(单位为0.1秒)。建议值:600。 hard/soft 无需填写 挂载方式类型。 取值为hard,即使用硬连接
Plugins小于V0.8.6版本的节点有影响。 恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录,实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知,但是如果DNS返回了A(IPv4)和AAAA(IPv6)记录,许多HTTP库都会尝试IPv6进行连接,如果再
LoadBalancer 使用Service的pass-through特性,使用ELB地址访问时绕过kube-proxy,先访问ELB,经过ELB再访问到负载。具体请参见LoadBalancer类型Service使用pass-through能力。 在CCE Standard集群中,当使用独享型负载
有该标签的Pod都可以访问。 ipBlock:根据网络选择,网段内的IP地址都可以访问。(仅Egress支持IPBlock) 通过YAML使用Ingress规则 场景一:通过网络策略限制Pod只能被带有特定标签的Pod访问 图1 podSelector 目标Pod具有role=d
在业务Pod允许被驱逐重新调度的场景中,通过负载感知和热点打散重调度结合使用,可以获得集群最佳的负载均衡效果。关于热点打散重调度能力的使用请参见重调度(Descheduler)。 开启负载感知调度策略,使用默认权重值5。插件详情与配置方法请参见负载感知调度。 开启重调度能力,完成
影响建议您采取以下措施: 使用不涉及该问题的操作系统,如Huawei Cloud EulerOS 2.0、Ubuntu 22.04。对于EulerOS 2.9的节点,新建节点不涉及该问题,存量低版内核的节点需要升级至已修复版本,详情请参见修复计划。 使用服务转发模式为iptables的集群。
限提升漏洞。该漏洞为中危漏洞,CVSS评分为6.4。 如果有多个集群共享使用了相同的CA和认证凭证,攻击者可以利用此漏洞攻击其他集群,这种情况下该漏洞为高危漏洞。 对于此次漏洞的跨集群攻击场景,CCE集群使用了独立签发的CA,同时不同集群间认证凭据完全隔离,跨集群场景不受影响。 从v1
Turbo集群: 集群内部客户端访问LB类型Service时,默认使用pass-through方式,此时客户端会直接访问ELB私网地址,然后通过ELB直接连接容器实例。 约束限制 在CCE Standard集群中,当使用独享型负载均衡配置pass-through后,从工作负载Pod所
留的cgroup达到节点上限后,导致该节点无法继续新建Pod。 解决方法 该问题可以通过可以在内核层全局使用 “cgroup.memory=nokmem” 参数关闭kmem使用防止发生泄漏。 1.17集群版本已停止维护,修复该问题建议升级至1.19及以上集群版本,并通过节点重置为
CCE Turbo集群 网络模型 容器隧道网络模型 云原生网络2.0模型 NetworkPolicy能力是否默认开启 默认开启 默认关闭,如需使用NetworkPolicy能力需在创建集群时开启DataPlane V2 数据面实现 openvswitch eBPF 入规则支持的集群版本
您的业务无法访问Docker/Containerd。Pod重建后sock文件重新挂载,可恢复正常。 通常K8S集群用户基于如下场景在容器中使用上述sock文件: 监控类应用,以DaemonSet形式部署,通过sock文件连接Docker/Containerd,获取节点容器状态信息。
按需集群转包年/包月 如果您在购买按需计费的集群后,想更换为包年/包月计费,可按如下步骤进行操作: 登录CCE控制台,在左侧导航栏中选择“集群管理”。 找到需要转包年/包月的集群,查看集群的更多操作,并单击“转包年包月”。 在转包年包月页面中,选择需要转包年/包月的集群,您也可以同时选择需要转包年/包月的节点。
oc/self/fd/<num>,仍存在风险,需要删除该配置后重新部署容器。 已运行的容器中,使用的镜像中WORKDIR设置为/proc/self/fd/<num>,仍存在风险,需要使用可信的镜像,重新部署容器。 已运行的容器中,容器WORKDIR未设置为/proc/self/fd/<num>,无风险。
} }, "config" : { } } } } SDK代码示例 SDK代码示例如下。 Java Python Go 更多 升级集群至v1.23版本,并设置节点升级步长为20。 1 2 3 4 5 6 7 8 9 10
6-r0及以上版本 v1.25集群:v1.25.2-r0及以上版本 v1.25以上版本集群 该功能只支持直通场景,即CCE Turbo集群中使用独享型ELB的场景。 该功能需在Pod中配置特定的readinessGates字段,指定标签target-health.elb.k8s.c
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
