检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CCE集群中工作负载镜像的拉取策略有哪些? 容器在启动运行前,需要镜像。镜像的存储位置可能会在本地,也可能会在远程镜像仓库中。 Kubernetes配置文件中的imagePullPolicy属性是用于描述镜像的拉取策略的,如下: Always:总是拉取镜像。 imagePullPolicy:
apache.org/dist//maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz tar -zxvf apache-maven-3.6.3-bin.tar.gz && mv apache-maven-3.6.3 ./spark/build
default-secret的类型为kubernetes.io/dockerconfigjson,其data内容是登录SWR镜像仓库的凭据,用于从SWR拉取镜像。在CCE中创建工作负载时如果需要从SWR拉取镜像,需要配置imagePullSecrets的取值为default-secret,如下所示。 apiVersion:
Pod安全配置 PodSecurityPolicy配置 Pod Security Admission配置 父主题: 工作负载
管理、编辑与更新大量的Kubernetes配置文件。 部署一个含有大量配置文件的复杂Kubernetes应用。 分享和复用Kubernetes配置和应用。 参数化配置模板支持多个环境。 管理应用的发布:回滚、diff和查看发布历史。 控制一个部署周期中的某一些环节。 发布后的测试验证。
Kubernetes社区近日公布了一个安全漏洞(CVE-2024-10220),该漏洞使得具有创建Pod权限的攻击者能够通过部署配置了gitRepo卷的Pod来执行容器外的任意命令。攻击者可以利用目标Git仓库中的钩子(hooks)目录,实现容器逃逸并执行攻击命令。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID
Standard/CCE Turbo 节点上可以正常运行的容器 Pod 的数目上限(包含系统默认实例)。此配置可防止节点因管理过多容器Pod而负荷过高。 配置建议: 根据节点配置变化 Pod中最大进程数 Pod中可创建最大进程数 参数名 取值范围 默认值 是否允许修改 作用范围 pod-max-pids
CCE服务的集群节点操作系统配置与开源操作系统默认配置保持一致,用户在节点创建完成后应根据自身安全诉求进行安全加固。 CCE提供以下建议的加固方法: 通过“创建节点”的“安装后执行脚本”功能,在节点创建完成后,执行命令加固节点。具体操作步骤参考创建节点的“云服务器高级设置”的“安装后执行脚本”。“安装后执行脚本”的内容需由用户提供。
控制Pod中容器使用的Sysctl配置。 Pod安全策略开放非安全系统配置示例 节点池管理中可以为相应的节点池配置allowed-unsafe-sysctls,CCE从1.17.17集群版本开始,需要在Pod安全策略的allowedUnsafeSysctls字段中增加相应的配置才能生效,配置详情请参考表1。
配置中心 集群配置概览 集群访问配置 网络配置 调度配置 集群弹性伸缩配置 监控运维配置 Kubernetes原生配置 异构资源配置
不支持修改 替代镜像仓库配置 registry-mirrors 配置一个或多个镜像仓库,以便在从容器运行时获取镜像时使用替代的镜像仓库。 不配置时镜像仓库默认为docker.io,且配置SWR镜像仓库为替代镜像仓库。 镜像仓库需要是IP地址或域名,替代的镜像仓库需要是http://
配置项 metadata annotations data
容器网络配置 配置管理-容器网络配置 节点池Pod安全组配置 节点池中的节点上运行的 Pod 的安全组配置,可填写安全组 ID。与工作负载详情页面的安全组策略一起实现对集群下负载 Pod 网络访问控制。 参数名 取值范围 默认值 是否允许修改 作用范围 security_groups_for_nodepool
操作步骤 修改kubelet配置。 方式一:修改节点池kubelet配置(默认节点池不支持) 登录CCE控制台,进入集群。 单击节点池后“更多 > 配置管理”。 图1 节点池配置管理 修改kubelet配置参数,在“允许使用的不安全系统配置”中增加配置“[net.core.somaxconn]”。
配置管理-容器引擎配置 单容器可用数据空间 单容器可用数据空间 参数名 取值范围 默认值 是否允许修改 作用范围 devmapper-base-size 大于等于0 0 支持初始化时配置,不支持后续修改 CCE Standard/CCE Turbo 当前仅devicemapper场景支持限制,overlayfs不支持
存储卷PV基础配置 存储卷类型 存储卷类型包含CCE所对接的华为云底层存储类型 参数名 取值范围 默认值 是否允许修改 作用范围 Volume Type 四种类型:云硬盘、文件存储、对象存储、极速文件存储 无 支持初始化时配置,不支持后续修改 - CCE当前对接的华为云底层存储类型
进入插件详情页。 在“参数配置”下添加存根域。格式为一个键值对,键为DNS后缀域名,值为一个或一组DNS IP地址。本例中,配置为'content.internal --10.0.0.190'。 单击“确定”完成配置更新。 在左侧导航栏中选择“配置项与密钥”,在“kube-sy
1000 系统配置,不支持修改 CCE Standard/CCE Turbo 从1.21版本开始不再支持手动配置,根据集群规格自动配置如下: 50和200节点:200 1000节点:500 2000节点:1000 0表示无限制。 配置建议: 建议保持默认值 上调此配置存在过载风险 非修改类API请求最大并发数
型场景例如DNAT访问、域名访问等特殊场景。 配置建议: 域名访问场景的典型使用方式如下: 客户端配置Host域名指定DNS域名地址,或者客户端主机配置/etc/hosts,添加相应域名映射。 云上内网使用,云解析服务DNS支持配置集群弹性IP与自定义域名的映射关系。后续更新弹性
负载均衡器配置:转发策略配置 访问域名 路由转发策略的访问域名 参数名 取值范围 默认值 是否允许修改 作用范围 spec.rules[].host 无 空 允许 CCE Standard/CCE Turbo Ingress中一条转发策略的访问域名配置 访问URL 路由转发策略的访问URL
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
