检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Fairness)是主资源公平调度策略,应用于大批量提交AI训练和大数据作业的场景,可增强集群业务的吞吐量,整体缩短业务执行时间,提高训练性能。 前提条件 已创建v1.19及以上版本的集群,详情请参见购买Standard/Turbo集群。 已安装Volcano插件,详情请参见Volcano调度器。 公平调度介绍
节点池管理最佳实践 本文将为您介绍与节点池管理相关的最佳实践,包括节点池创建、管理和弹性伸缩等方面,从而更好地满足业务需求。 场景分类 相关最佳实践 创建节点池相关实践 制作CCE节点自定义镜像 创建节点时执行安装前/后脚本 创建节点时使用OBS桶实现自定义脚本注入 选择合适的节点数据盘大小
security_groups_for_nodepool UUID列表,最大支持配置5个。 禁止重复 NULL 允许 CCE Turbo 控制台上创建节点池时不允许指定,支持在节点池创建后在节点池配置管理中配置。 通过yangtse-agent的配置管理生效 父主题: 节点池
搭建Jenkins和Gitlab环境 前提条件 创建一个新的VPC,本示例中名为vpc-X,所使用网段为192.168.0.0/16。 创建一台位于vpc-X(192.168.0.0/16网段)的ECS服务器,推荐规格为4vCPUs 16GiB,系统为Huawei Cloud EulerOS
登录CCE控制台,单击集群名称进入集群,在左侧导航栏中选择“节点管理”。 单击“创建节点池”,创建一个GPU虚拟化规格的节点池,操作详情请参见创建节点池。 关于GPU虚拟化节点的规格、操作系统、容器引擎、操作系统要求请参见准备GPU虚拟化资源。 节点池创建完成后,单击“弹性伸缩”,在“伸缩对象”中将目标规格
因此必须在Pod被创建之前创建它想要访问的任何Service, 否则环境变量将不会生效,而使用DNS则没有此限制。 CCE集群提供了CoreDNS插件作为集群中的DNS服务器。DNS服务器为新的Services监视Kubernetes API,并为每个Services创建一组DNS记录。
可通过创建恶意Pod,挂载宿主机目录至容器中,利用runc的符号链接以及条件竞争漏洞,最终可能会导致容器逃逸,使攻击者能够访问宿主机的文件系统。 您需要检查节点上的runc版本是否<=1.0.0-rc94,以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限,尤其是拥有配置卷挂载参数的权限。
升级前须知 升级前,您可以在CCE控制台确认您的集群是否可以进行升级操作。确认方法请参见升级集群的流程和方法。 注意事项 升级集群前,您需要知晓以下事项: 请务必慎重并选择合适的时间段进行升级,以减少升级对您的业务带来的影响。 集群升级前,请参考Kubernetes版本发布说明了
是否允许修改 作用范围 version 在维版本 最新的商用版本 仅支持创建集群时自定义版本,集群创建完成后不支持修改,此时可以通过升级集群变更版本号 CCE Standard/CCE Turbo 若不配置,默认创建最新版本的集群。 若指定集群基线版本但是不指定具体r版本,则系统默认
使用应用,维护工作由A企业提供。 在第三方企业需要使用该应用时,需要在第三方企业内部部署一套“Tomcat应用和MongoDB数据库”,MySQL数据库由A企业提供,用于存储各第三方企业的数据。 图1 应用架构 如图1,该应用是标准的tomcat应用,后端对接了MongoDB和M
使用TLS类型的密钥证书:由Secret承载证书内容,证书内容在CCE侧维护,并自动在ELB侧进行证书的创建、更新或删除。配置在Ingress的spec.tls字段下。 使用ELB服务中的证书:直接使用ELB服务中创建的证书,证书内容在ELB侧维护。配置在Ingress的annotation字段下。
ID等信息,说明该监听器由此集群创建。 您可以根据上述信息将集群下残留的弹性负载均衡相关资源删除。 云硬盘资源 通过PVC动态创建方式创建的云硬盘名称格式为“pvc-{uid}”,且接口中的MetaData字段包含集群ID信息,您可以通过集群ID筛选出该集群中自动创建的云硬盘,根据需要进行删除。
设置时区同步 创建工作负载时,支持设置容器使用节点相同的时区。您可以在创建工作负载时打开时区同步配置。 时区同步功能依赖容器中挂载的本地磁盘(HostPath),如下所示,开启时区同步后,Pod中会通过HostPath方式,将节点的“/etc/localtime”挂载到容器的“/
为负载均衡类型的Service配置获取客户端IP 使用共享型ELB创建负载均衡类型的服务时,您可以通过配置annotation配置ELB的监听器获取客户端IP的能力。 使用独享型ELB时默认开启获取客户端IP,无需配置。 配置获取客户端IP后,如果您在YAML中删除对应的annotation,ELB侧的配置将会保留。
filter,在内核以及权限满足时受该漏洞影响。 CCE当前不受影响 判断方法 uname -a查看内核版本号 规避和消减措施 CCE集群节点不受该漏洞影响。对于自建的K8s集群,建议用户对工作负载: 最小权限运行容器 根据社区提供的配置方法配置seccomp 相关链接 https://blog.aquasec
StorageClass 上节说的PV和PVC方法虽然能实现屏蔽底层存储,但是PV创建比较复杂(可以看到PV中csi字段的配置很麻烦),通常都是由集群管理员管理,这非常不方便。 Kubernetes解决这个问题的方法是提供动态配置PV的方法,可以自动创PV。管理员可以部署PV配置器(
transmitted, 4 packets received, 0% packet loss 跨VPC访问 跨VPC访问通常采用对等连接等方法打通VPC。 容器隧道网络只需将节点网络与对端VPC打通,容器自然就能访问对端VPC。 云原生网络2.0与容器隧道网络类似,将容器所在子网网段与对端VPC打通即可。
25及以上版本的集群中,ServiceAccount将不会自动创建对应的Secret。 Kubernetes 1.21及以上版本的集群中,直接使用TokenRequest API获得Token,并使用投射卷(Projected Volume)挂载到Pod中。使用这种方法获得的Token具有固定的生命周期(
问题定位 当Pod状态为“Pending”,事件中出现“实例调度失败”的信息时,可根据具体事件信息确定具体问题原因。事件查看方法请参见工作负载状态异常定位方法。 排查思路 根据具体事件信息确定具体问题原因,如表1所示。 表1 实例调度失败 事件信息 问题原因与解决方案 no nodes
2之前的版本中,攻击者若具备在Kubernetes集群中创建Ingress对象(属于networking.k8s.io或extensions API 组)的权限,可能绕过注解验证并注入任意命令,从而获取ingress-nginx控制器的凭证,并访问集群中的所有敏感信息。 判断方法 若CCE集群中安装了NGINX
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
