检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
节点可创建的最大Pod数量说明 节点最大Pod数量计算方式 根据集群类型不同,节点可创建的最大Pod数量计算方式如下: 网络模型 节点可创建的最大Pod数量计算方式 建议 “容器隧道网络”集群 仅取决于节点最大实例数 - “VPC网络”集群 取决于节点最大实例数和节点可分配容器IP数中的最小值
Job、CronJob等多种类型。 云容器引擎CCE提供基于Kubernetes原生类型的容器部署和管理能力,支持容器工作负载部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等生命周期管理。 容器组(Pod) 容器组(Pod)是Kubernetes创建或部署的最小单位。一个
集群内访问(ClusterIP) 操作场景 集群内访问表示工作负载暴露给同一集群内其他工作负载访问的方式,可以通过“集群内部域名”访问。 集群内部域名格式为“<服务名称>.<工作负载所在命名空间>.svc.cluster.local:<端口号>”,例如“nginx.default
模板概述 CCE提供了管理Helm Chart(模板)的控制台,能够帮助您方便的使用模板部署应用,并在控制台上管理应用。CCE使用的Helm版本为v3.8.2,支持上传Helm v3语法的模板包,具体请参见通过模板部署应用。 您也可以直接使用Helm客户端直接部署应用,使用Hel
er/Containerd。Pod重建后sock文件重新挂载,可恢复正常。 通常K8S集群用户基于如下场景在容器中使用上述sock文件: 监控类应用,以DaemonSet形式部署,通过sock文件连接Docker/Containerd,获取节点容器状态信息。 编译平台类应用,通过
cs-Server,用来替换之前的heapster,heapster从1.11开始逐渐被废弃。 Metrics Server是集群核心资源监控数据的聚合器,您可以在CCE控制台快速安装本插件。 安装本插件后,可创建HPA策略,具体请参见创建HPA策略。 社区官方项目及文档:https://github
和密码等信息。 区域(Region) 从地理位置和网络时延维度划分,同一个Region内共享弹性计算、块存储、对象存储、VPC网络、弹性公网IP、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属R
securityContext: allowPrivilegeEscalation: false 通过以下命令对容器内的/etc/hosts文件进行监控,如果该文件的大小异常,请采取相应告警或容器隔离措施。 find /var/lib/kubelet/pods/*/etc-hosts -size
od的数量,以保持应用的性能。 亲和性与反亲和性 在应用没有容器化之前,原先一个虚机上会装多个组件,进程间会有通信。但在做容器化拆分的时候,往往直接按进程拆分容器,比如业务进程一个容器,监控日志处理或者本地数据放在另一个容器,并且有独立的生命周期。这时如果分布在网络中两个较远的点,请求经过多次转发,性能会很差。
可用区1。 当集群中卸载kube-prometheus-stack插件时,prometheus实例绑定的存储卷不会被一起删除,保留了已有的监控数据。当再次安装插件时,集群的节点可能已经进行过删除新建,如果集群中不存在可用区1的节点,则会出现该问题导致prometheus实例无法运行。
CCE集群控制面已经通过安全组进行防护,只允许从租户节点或者相邻节点访问安全端口,默认安全。 集群node节点上系统组件监听在127.0.0.1的端口只涉及健康检查、监控信息查询等请求,不会有信息泄露风险。 综上,该CVE对CCE集群影响不大。 漏洞修复方案 目前官方已提供安全版本修复了该漏洞,请受影响的用户升级至以下安全版本。
可以看到kube-system有很多Pod,其中coredns是用于做服务发现、everest-csi是用于对接存储服务、icagent是用于对接监控系统。 这些通用的、必须的应用放在kube-system这个命名空间中,能够做到与其他Pod之间隔离,在其他命名空间中不会看到kube-s
残留packageversion检查异常处理 节点命令行检查异常处理 节点交换区检查异常处理 NGINX Ingress控制器插件升级检查异常处理 云原生监控插件升级检查异常处理 Containerd Pod重启风险检查异常处理 GPU插件关键参数检查异常处理 GPU/NPU Pod重建风险检查异常处理
通过Kubectl命令行创建Nginx Ingress 本节以Nginx工作负载为例,说明kubectl命令添加Nginx Ingress的方法。 关于CCE v1.23集群中Ingress API版本升级的说明 CCE从v1.23版本集群开始,将Ingress切换到networking
s3Url中的访问端口需填写MinIO的API端口,而非console端口。MinIO API端口默认为9000。 访问集群外安装的MinIO时,需填写其公网IP地址。 Velero实例将默认创建一个名为velero的namespace,执行以下命令可查看pod状态。 $ kubectl get pod
通过自定义域名访问集群 操作场景 主题备用名称(Subject Alternative Name,缩写SAN)允许将多种值(包括IP地址、域名等)与证书关联。SAN通常在TLS握手阶段被用于客户端校验服务端的合法性:服务端证书是否被客户端信任的CA所签发,且证书中的SAN是否与客
集群中节点连接异常,多个节点报写入错误,业务未受影响。 问题定位: 登录CCE控制台,进入集群,在不可用节点所在行单击“监控”。 单击“监控”页签顶部的“查看更多”,前往运维管理页面查看历史监控记录。 当节点cpu和内存负载过高时,会导致节点网络时延过高,或系统OOM,最终展示为不可用。 解决方案:
购买集群 集群类型对比 购买Standard/Turbo集群 在CCE Turbo集群中使用分布式云资源 使用KMS进行Secret落盘加密 iptables与IPVS如何选择 父主题: 集群
服务加入Istio后,如何获取客户端真实源IP? 问题现象 服务启用Istio后,访问日志中无法获取到客户端源IP。 解决方案 本文以绑定ELB类型Service的nginx应用为例,详细步骤如下: ELB侧开启获取客户端IP 独享型ELB默认开启源地址透传功能,无需手动开启。
CCE集群IPVS转发模式下conn_reuse_mode问题说明 发布时间:2022/01/27 CCE集群在IPVS模式下,通过Service方式访问集群内部服务,偶现1秒延时的情况,引起该问题的主要原因为社区IPVS连接复用Bug。 详情请参见CCE集群IPVS转发模式下conn_reuse_mode问题说明。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
