检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Server绑定弹性公网IP。配置完成后,集群API Server将具有公网访问能力。 绑定弹性公网IP后,集群存在公网访问风险,建议为控制节点安全组加固5443端口的入方向规则。详情请参见如何配置集群的访问策略。 此操作将会短暂重启 kube-apiserver 并更新集群访问证书(kubeconfig),请避免在此期间操作集群。
节点是容器集群组成的基本元素。节点取决于业务,既可以是虚拟机,也可以是物理机。每个节点都包含运行Pod所需要的基本组件,包括 Kubelet、Kube-proxy 、Container Runtime等。在云容器引擎CCE中,主要采用高性能的弹性云服务器ECS或裸金属服务器BMS作为节点来构建高可用的Kubernetes集群。
在CloudShell中使用kubectl访问集群需要在集群控制节点的安全组(安全组名称:集群名称-cce-control-随机数)中放通如下网段访问5443端口。5443端口默认对所有网段放通,如果您对安全组做过加固,当出现在CloudShell中无法访问集群时,请检查5443端口是否放通了198
并在连接创建完成后,手动添加路由。 不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0,如果VPC内的ECS绑定了EIP,会在ECS内增加默认网段的策略路由,并且优先级高于ER路由,此时会导致流量转发至EIP,无法抵达ER。 开启 描述 该连接的描述信息,支持修改。
参见CCE集群弹性引擎。 自定义扩容规则:单击“添加规则”,在弹出的添加规则窗口中设置参数。例如CPU分配率大于70%时,关联的节点池都增加一个节点。CA策略需要关联节点池,可以关联多个节点池,当需要对节点扩缩容时,在节点池中根据最小浪费规则挑选合适规格的节点扩缩容。 节点数范围
CCE对节点内存的预留规则v1 v1.21.4-r0和v1.23.3-r0以下版本集群中,节点内存的预留规则使用v1模型。对于v1.21.4-r0和v1.23.3-r0及以上版本集群,节点内存的预留规则优化为v2模型,请参见CCE对节点内存的预留规则v2。 如果节点资源占用比较满,集群升级到v1
隧道网络有一定优势。此外,使用VPC网络模型的集群时,由于VPC路由表中自动配置了容器网段与VPC网段之间的路由,可以支持同一VPC内的云服务器从集群外直接访问容器实例等特殊场景。 图1 VPC网络 在VPC网络模型的集群中,不同形式的网络通信路径不同: 节点内Pod间通信:IP
建议您采取以下安全防范措施: 如果业务容器需使用主机网络模式且又监听在非安全端口上,可以通过在节点上手动添加iptables规则来缓解此漏洞。 执行以下命令,在集群中配置iptables规则,用于拒绝非本地对127.0.0.1的访问流量: iptables -I INPUT --dst 127.0
工作负载异常:实例驱逐异常(Evicted) 容器异常退出状态码 如何让多个Pod均匀部署到各个节点上? 如何驱逐节点上的所有Pod? 网络管理 集群安全组规则配置 工作负载网络异常时,如何定位排查? 为什么访问部署的应用时浏览器返回404错误码? 节点无法连接互联网(公网),如何排查定位? 解析外部域名很慢或超时,如何优化配置?
但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API 网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安
节点操作系统说明 本文为您提供当前已经发布的集群版本与操作系统版本的对应关系。 弹性云服务器-虚拟机 表1 弹性云服务器-虚拟机节点操作系统 操作系统 集群版本 CCE Standard集群 CCE Turbo集群 最新内核信息 VPC网络模型 容器隧道网络模型 云原生网络2.0
云服务的计费说明。 集群中的节点不支持在ECS控制台进行计费模式变更。 表1 支持变更计费模式的计费项 计费项 变更说明 集群 变更集群的计费模式。集群转包周期时可同时选择将集群下的按需节点转为包年/包月计费。 节点(弹性云服务器 ECS) 实例规格 变更节点的计费模式会同时变更
String 当前上下文,若存在publicIp(虚拟机弹性IP)时为 external; 若不存在publicIp为 internal。 表4 Clusters 参数 参数类型 描述 name String 集群名字。 若不存在publicIp(虚拟机弹性IP),则集群列表的集群数量为1,
NAT转换,所以适用于对带宽、时延要求极高的业务场景,比如:线上直播、电商抢购等。 大规模组网:云原生网络2.0当前最大可支持2000个ECS节点,10万个Pod。 核心技术 OVS IPVlan,VPC路由 VPC弹性网卡/弹性辅助网卡 适用集群 CCE Standard集群 CCE
面向云原生2.0的新一代容器集群产品,计算、网络、调度全面加速 标准版本集群,提供商用级的容器集群服务 节点形态 支持虚拟机和裸金属服务器混合 支持虚拟机和裸金属服务器混合 网络 网络模型 云原生网络2.0:面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络1.0:面向性能和规模要求不高的场景。
对操作步骤请参见创建密钥对。 使用镜像密码(当节点类型为弹性云服务器虚拟机或物理机,且操作系统选择私有镜像时支持) 保留所选择镜像的密码。为了保证您的正常使用,请确保所选择镜像中已经设置了密码。 存储配置 配置节点云服务器上的存储资源,方便节点上的容器软件与容器应用使用。 表2 存储配置参数
在创建集群之前,您需要创建密钥对,用于登录工作节点时的身份验证。 如果用户已有密钥对,可重复使用,不需多次创建。 操作步骤 登录管理控制台,选择“计算 > 弹性云服务器”。 在左侧导航树中,选择“密钥对”。 单击“创建密钥对”,并按照提示完成创建,详情请参见密钥对。 创建完成后,系统生成密钥文件,自动保存在系统默认目录下。
参数解释: 节点池自定义安全组相关配置。支持节点池新扩容节点绑定指定的安全组。 未指定安全组ID,新建节点将添加Node节点默认安全组。 指定有效安全组ID,新建节点将使用指定安全组。 指定安全组,应避免对CCE运行依赖的端口规则进行修改。详细设置请参考集群安全组规则配置。 约束限制:
客户端ID:填写一个ID,后续创建容器时使用。 签名公钥:CCE集群的jwks,获取方法请参见步骤一:获取CCE集群的签名公钥。 身份转换规则 身份映射规则是将工作负载的ServiceAccount和IAM用户做映射。 例如在集群default命名空间下创建一个名为oidc-token的
集群中纳管计费模式为“包年包月”的节点时,无法在CCE控制台为其续费,用户需前往ECS控制台单独续费。 由于ECS(节点)等CCE依赖的底层资源存在产品配额及库存限制,创建集群、扩容集群或者自动弹性扩容时,可能只有部分节点创建成功。 ECS(节点)规格要求:CPU ≥ 2核且内存 ≥ 4GB。 通过
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
