检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
security_policy_id 否 String ELB中自定义安全组策略ID,请前往ELB控制台获取。该字段仅在HTTPS协议下生效,且优先级高于默认安全策略。 自定义安全策略的创建、更新步骤请参见TLS安全策略。 kubernetes.io/elb.tls-ciphers-policy
容器网段入方向的安全组规则或防火墙。具体请参见安全组配置示例。 如果使用VPN或“对等连接”等方式打通了小网通信,需要在中间路上和目的地,都需要在对等连接添加容器网段的路由。 “云原生网络2.0”模型的集群需要根据业务诉求放通容器关联的安全组,容器关联的默认安全组名称为{集群名}
json)进行认证,kubeconfig.json文件内包含用户信息,CCE根据用户信息的权限判断kubectl有权限访问哪些Kubernetes资源。即哪个用户获取的kubeconfig.json文件,kubeconfig.json就拥有哪个用户的信息,这样使用kubectl访问时就拥有这个用户的
网络策略(NetworkPolicy)是Kubernetes设计用来限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。 默认情况下,如果命名空间中不存在任何策略,则所有进出该命名空间中的Pod的流量都被允许。
个域下的网页通常不能直接请求另一个域下的资源。CORS(跨资源共享,Cross-Origin Resource Sharing)提供了一种安全的方式来绕过这个限制,允许跨域请求。 使用CORS允许跨域访问的场景较多,可能的场景如下: 前后端分离:前端应用部署在一个域名下(如 app
支持Docker运行时。考虑到当前仍然有部分用户使用Docker,CCE将继续支持创建Docker节点。 建议您在新建节点时选择更加轻量、安全的Containerd运行时,同时将存量节点的容器运行时逐步迁移至Containerd,具体操作请参见将节点容器引擎从Docker迁移到Containerd。
NetworkPolicy NetworkPolicy是Kubernetes设计用来限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。 默认情况下,如果命名空间中不存在任何策略,则所有进出该命名空间中的Pod的流量都被允许。
方法二:提高弹性IP的配额。 排查项三:节点安全组是否被修改或删除 问题现象: 在CCE集群中新增节点时创建失败。 解决方法: 您可单击集群名称,查看“集群信息”页面。在“网络信息”中单击“节点默认安全组”后的按钮,检查集群的节点默认安全组是否被删除,且安全组规则需要满足集群安全组规则配置。 如果您的
Encryption Workshop, DEW)。该插件允许用户将存储在集群外部(即专门存储敏感信息的数据加密服务)的凭据挂载至业务Pod内,从而将敏感信息与集群环境解耦,有效避免程序硬编码或明文配置等问题导致的敏感信息泄密。 字段说明 表1 参数描述 参数 是否必选 参数类型 描述 basic 否
VPC”,单击左侧导航栏的“访问控制 > 安全组”,找到集群控制节点的安全组。 控制节点安全组名称为:集群名称-cce-control-编号。 单击安全组名称,进入详情页面,请确保集群控制节点的安全组规则的正确性。 安全组的详细说明请参见集群安全组规则配置。 排查项二:集群是否过载 问题现象
控制节点安全组规则。 登录CCE控制台,单击集群名称进入集群,在总览页面找到“集群ID”并复制。 登录VPC控制台,在左侧导航栏中选择“访问控制 > 安全组”。 在筛选栏中,选择筛选条件为“描述”,并粘贴集群ID进行筛选。 筛选结果中将会包含多个安全组,找到控制节点的安全组(以[
开启 允许 CCE Standard/CCE Turbo 功能启用时,系统会将资源的字段管理信息存储在metadata.managedFields字段中,以记录历史操作的主体、时间、字段等信息 父主题: 集群
当Pod状态为“Pending”,事件中出现“实例调度失败”的信息时,可根据具体事件信息确定具体问题原因。事件查看方法请参见工作负载状态异常定位方法。 排查思路 根据具体事件信息确定具体问题原因,如表1所示。 表1 实例调度失败 事件信息 问题原因与解决方案 no nodes available
插件高可用部署 应用场景 CCE提供了多种插件扩展集群云原生能力,涵盖了容器调度与弹性、云原生可观测、容器网络、容器存储、容器安全等方向,插件通过Helm模板方式部署,将插件中的工作负载部署至集群的工作节点。 随着插件使用的普及化,业务对插件的稳定性、可靠性保证已成为基本诉求。目
kube-system 记录下这个token值,就是要搜集的bearer_token信息。 配置bearer_token 信息。 登录到Prometheus所在机器,进入Prometheus的安装目录,将目标集群的token信息保存在文件中。 配置Prometheus监控job。 示例job监控
通过跨账户挂载对象存储,您可以实现数据共享,降低存储和传输成本,同时确保数据的安全性和一致性。这种方式使多个团队或组织能够安全、便捷地访问彼此的数据资源,避免重复存储和冗余传输,同时确保数据的最新性和合规性,从而提升整体的业务效率和安全性。 操作流程 假设账号B在某种情况下需要访问和使用账号A的某
场景一:容器与节点时区同步 登录CCE控制台。 在创建工作负载基本信息页面,开启“时区同步”,即容器与节点使用相同时区。 图1 开启时区同步 登录节点进入容器查询容器时区是否与节点保持一致。 date -R 命令行终端显示如下信息: Tue, 04 Jun 2019 15::08:47
集群默认的Node节点安全组ID。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不指定该字段系统将自动为用户创建默认Node节点安全组。 指定该字段时集群将绑定指定的安全组。 说明: 指定Node节点安全组需要放通部分端口来保证正常通信。详细设置请参考集群安全组规则配置。 co
-control-”字样,即为本集群安全组。 排查安全组中规则是否被修改,关于安全组的详细说明请参见集群安全组规则配置。 检查安全组规则中是否包含Master和Node互通的安全组策略 请检查安全组规则中是否包含Master和Node互通的安全组策略。 已有集群添加节点时,如果子
取镜像失败”或“重新拉取镜像失败”。查看K8s事件的方法请参见Pod事件查看方法。 排查思路 根据具体事件信息确定具体问题原因,如表1所示。 表1 实例拉取镜像失败 事件信息 问题原因与解决方案 Failed to pull image "xxx": rpc error: code
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
