检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何驱逐节点上的所有Pod? 您可使用kubectl drain命令从节点安全地逐出所有Pod。 默认情况下,kubectl drain命令会保留某些系统级Pod不被驱逐,例如everest-csi-driver。 使用kubectl连接集群。 查看集群中的节点。 kubectl
并授予用户对应权限。这些用户可以使用特别的登录链接和自己单独的用户账号访问,帮助您高效的管理资源,您还可以设置账号安全策略确保这些账号的安全,从而降低您的企业信息安全风险。 账号无需授权,由账号创建的IAM用户需要授予相应的权限才能使用CCE,具体请参见权限管理。 获取资源权限
修复部分安全问题。 v1.25.5-r20 v1.25.5 - 优化接口调用逻辑,避免业务大规模调用场景下出现接口流控。 启用chrony配置清理修正,避免数据堆积。 修复部分安全问题。 v1.25.5-r10 v1.25.5 - 优化节点删除时的事件信息。 修复部分安全问题。 v1
容器网段入方向的安全组规则或防火墙。具体请参见安全组配置示例。 如果使用VPN或“对等连接”等方式打通了小网通信,需要在中间路上和目的地,都需要在对等连接添加容器网段的路由。 “云原生网络2.0”模型的集群需要根据业务诉求放通容器关联的安全组,容器关联的默认安全组名称为{集群名}
security_policy_id 否 String ELB中自定义安全组策略ID,请前往ELB控制台获取。该字段仅在HTTPS协议下生效,且优先级高于默认安全策略。 自定义安全策略的创建、更新步骤请参见TLS安全策略。 kubernetes.io/elb.tls-ciphers-policy
网络策略(NetworkPolicy)是Kubernetes设计用来限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。 默认情况下,如果命名空间中不存在任何策略,则所有进出该命名空间中的Pod的流量都被允许。
json)进行认证,kubeconfig.json文件内包含用户信息,CCE根据用户信息的权限判断kubectl有权限访问哪些Kubernetes资源。即哪个用户获取的kubeconfig.json文件,kubeconfig.json就拥有哪个用户的信息,这样使用kubectl访问时就拥有这个用户的
NetworkPolicy NetworkPolicy是Kubernetes设计用来限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。 默认情况下,如果命名空间中不存在任何策略,则所有进出该命名空间中的Pod的流量都被允许。
通过跨账户挂载对象存储,您可以实现数据共享,降低存储和传输成本,同时确保数据的安全性和一致性。这种方式使多个团队或组织能够安全、便捷地访问彼此的数据资源,避免重复存储和冗余传输,同时确保数据的最新性和合规性,从而提升整体的业务效率和安全性。 操作流程 假设账号B在某种情况下需要访问和使用账号A的某
支持Docker运行时。考虑到当前仍然有部分用户使用Docker,CCE将继续支持创建Docker节点。 建议您在新建节点时选择更加轻量、安全的Containerd运行时,同时将存量节点的容器运行时逐步迁移至Containerd,具体操作请参见将节点容器引擎从Docker迁移到Containerd。
个域下的网页通常不能直接请求另一个域下的资源。CORS(跨资源共享,Cross-Origin Resource Sharing)提供了一种安全的方式来绕过这个限制,允许跨域请求。 使用CORS允许跨域访问的场景较多,可能的场景如下: 前后端分离:前端应用部署在一个域名下(如 app
Encryption Workshop, DEW)。该插件允许用户将存储在集群外部(即专门存储敏感信息的数据加密服务)的凭据挂载至业务Pod内,从而将敏感信息与集群环境解耦,有效避免程序硬编码或明文配置等问题导致的敏感信息泄密。 字段说明 表1 参数描述 参数 是否必选 参数类型 描述 basic 否
方法二:提高弹性IP的配额。 排查项三:节点安全组是否被修改或删除 问题现象: 在CCE集群中新增节点时创建失败。 解决方法: 您可单击集群名称,查看“集群信息”页面。在“网络信息”中单击“节点默认安全组”后的按钮,检查集群的节点默认安全组是否被删除,且安全组规则需要满足集群安全组规则配置。 如果您的
VPC”,单击左侧导航栏的“访问控制 > 安全组”,找到集群控制节点的安全组。 控制节点安全组名称为:集群名称-cce-control-编号。 单击安全组名称,进入详情页面,请确保集群控制节点的安全组规则的正确性。 安全组的详细说明请参见集群安全组规则配置。 排查项二:集群是否过载 问题现象
开启 允许 CCE Standard/CCE Turbo 功能启用时,系统会将资源的字段管理信息存储在metadata.managedFields字段中,以记录历史操作的主体、时间、字段等信息 父主题: 集群
参数解释: 节点池自定义安全组相关配置。支持节点池新扩容节点绑定指定的安全组。 未指定安全组ID,新建节点将添加Node节点默认安全组。 指定有效安全组ID,新建节点将使用指定安全组。 指定安全组,应避免对CCE运行依赖的端口规则进行修改。详细设置请参考集群安全组规则配置。 约束限制:
控制节点安全组规则。 登录CCE控制台,单击集群名称进入集群,在总览页面找到“集群ID”并复制。 登录VPC控制台,在左侧导航栏中选择“访问控制 > 安全组”。 在筛选栏中,选择筛选条件为“描述”,并粘贴集群ID进行筛选。 筛选结果中将会包含多个安全组,找到控制节点的安全组(以[
场景一:容器与节点时区同步 登录CCE控制台。 在创建工作负载基本信息页面,开启“时区同步”,即容器与节点使用相同时区。 图1 开启时区同步 登录节点进入容器查询容器时区是否与节点保持一致。 date -R 命令行终端显示如下信息: Tue, 04 Jun 2019 15::08:47
kube-system 记录下这个token值,就是要搜集的bearer_token信息。 配置bearer_token 信息。 登录到Prometheus所在机器,进入Prometheus的安装目录,将目标集群的token信息保存在文件中。 配置Prometheus监控job。 示例job监控
当Pod状态为“Pending”,事件中出现“实例调度失败”的信息时,可根据具体事件信息确定具体问题原因。事件查看方法请参见工作负载状态异常定位方法。 排查思路 根据具体事件信息确定具体问题原因,如表1所示。 表1 实例调度失败 事件信息 问题原因与解决方案 no nodes available
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
