检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
轮转证书文件数量检查 检查项内容 检查您节点上的证书数量过多(>1000),由于升级过程中会批量处理证书文件,证书文件过多可能导致节点升级过慢,节点上Pod被驱逐等。 解决方案 方案一:优先建议您重置节点,详情请参考重置节点。 方案二:修复节点上证书轮转异常问题。 进入节点/op
In:亲和/反亲和对象的标签包含在标签值列表(values字段)中。 NotIn:亲和/反亲和对象的标签不包含在标签值列表(values字段)中。 Exists:亲和/反亲和对象存在指定标签名,此时无需填写标签值列表(values字段)。 DoesNotExist:亲和/反亲和对象不存在指
需填写第三方监控系统的地址和Token,并选择是否跳过证书认证。 本地数据存储:将普罗数据存储在集群中的PVC存储卷里,选择用于存储监控数据的磁盘类型和大小。存储卷不随插件卸载而删除。开启本地数据存储时,将部署全量组件,详情请参见组件说明。 若monitoring命名空间下已存
进入“云服务退订”页面。 单击“退订使用中的资源”页签。 单个资源退订与批量退订可使用不同的操作方式: 退订单个资源:单击待退订资源所在行的“退订资源”。 图1 退订单个资源 批量退订:在退订列表中勾选需要退订的资源,单击列表左上角的“退订资源”。 图2 批量退订 在“退订资源”页面中查看退订信息,确认无误后选择退订原因,单击“退订”。
如果您无需使用CCE控制台,只使用kubectl命令操作集群中的资源,则不受集群管理(IAM)权限的影响,您只需要获取具有命名空间权限的配置文件(kubeconfig),详情请参考如果不配置集群管理权限,是否可以使用kubectl命令呢?。集群配置文件在传递过程中可能存在泄露风险,应在实际使用中注意。
NPD插件版本过低导致进程资源残留问题 问题描述 在节点负载压力比较大的场景下,可能存在NPD进程资源残留的问题。 问题现象 登录到CCE集群的ECS节点,查询存在大量npd进程。 解决方案 升级CCE节点故障检测(简称NPD)插件至最新版本。 登录CCE控制台,进入集群,在左侧
SAS:高IO,是指由SAS存储提供资源的磁盘类型。 SSD:超高IO,是指由SSD存储提供资源的磁盘类型。 SATA:普通IO,是指由SATA存储提供资源的磁盘类型。EVS已下线SATA磁盘,仅存量节点有此类型的磁盘。 ESSD:极速型SSD云硬盘,是指由极速型SSD存储提供资源的磁盘类型。
创建节点池相关实践 制作CCE节点自定义镜像 创建节点时执行安装前/后脚本 创建节点时使用OBS桶实现自定义脚本注入 选择合适的节点数据盘大小 节点池日常管理实践 存储扩容 通过Core Dump文件定位容器问题 容器与节点时区同步 将节点容器引擎从Docker迁移到Containerd
gzip-enabled String LoadBalancer支持开启数据压缩,通过数据压缩可缩小传输文件大小,提升文件传输效率减少带宽消耗。 开启将对特定文件类型进行压缩,关闭则不会对任何文件类型进行压缩。在默认情况下数据压缩为关闭。 支持的压缩类型如下: Brotli支持压缩所有类型。
创建节点相关实践 制作CCE节点自定义镜像 创建节点时执行安装前/后脚本 创建节点时使用OBS桶实现自定义脚本注入 选择合适的节点数据盘大小 节点日常管理实践 存储扩容 通过Core Dump文件定位容器问题 容器与节点时区同步 将节点容器引擎从Docker迁移到Containerd
超卖量的计算算法:节点资源超卖量 = (节点资源分配量 - 节点资源用量评估值) * 超卖比例 超卖量会周期性更新到节点的annotation中,以便Volcano scheduler基于各个节点的超卖量进行Pod调度。 前提条件 已启用动态资源超卖。具体操作请参见动态资源超卖。 使用方法
SAS:高IO,是指由SAS存储提供资源的磁盘类型。 SSD:超高IO,是指由SSD存储提供资源的磁盘类型。 SATA:普通IO,是指由SATA存储提供资源的磁盘类型。EVS已下线SATA磁盘,仅存量节点有此类型的磁盘。 ESSD:极速型SSD云硬盘,是指由极速型SSD存储提供资源的磁盘类型。
为了应对集群节负载不均衡等问题,动态平衡各个节点之间的资源使用率,需要基于节点的相关监控指标,构建集群资源视图,在集群治理阶段,通过实时监控,在观测到节点资源率较高、节点故障、Pod 数量较多等情况时,可以自动干预,迁移资源使用率高的节点上的一些Pod到利用率低的节点上。 图1 LoadAware策略示意图
实例作为目的端。 步骤一:获取数据上报地址 Prometheus提供了Remote Write标准接口,您可以在CCE云原生监控插件中填写数据上报地址(Remote Write URL),将本地采集到的监控数据远程存储到Prometheus中。 如果您用于接受数据的目的端为第三方
批量添加指定集群的资源标签 功能介绍 该API用于批量添加指定集群的资源标签。 每个集群支持最多20个资源标签。 此接口为幂等接口:创建时,如果创建的标签已经存在(key/value均相同视为重复),默认处理成功;key相同,value不同时会覆盖原有标签。 调用方法 请参见如何调用API。
节点sock文件挂载检查异常处理 检查项内容 检查节点上的Pod是否直接挂载docker/containerd.sock文件。升级过程中Docker/Containerd将会重启,宿主机sock文件发生变化,但是容器内的sock文件不会随之变化,二者不匹配,导致您的业务无法访问D
通过请求中原有的访问凭据转发请求至其他目标节点,从而造成被攻击节点的权限提升漏洞。该漏洞为中危漏洞,CVSS评分为6.4。 如果有多个集群共享使用了相同的CA和认证凭证,攻击者可以利用此漏洞攻击其他集群,这种情况下该漏洞为高危漏洞。 对于此次漏洞的跨集群攻击场景,CCE集群使用了
放通安全组 协议端口 放通源地址网段 CCE Standard 共享型ELB 节点安全组,名称规则默认是{集群名}-cce-node-{随机ID} 如果集群中绑定了自定义的节点安全组,请根据实际进行选择。 ICMP的全部端口 共享型ELB网段100.125.0.0/16 独享型ELB 节
节点配置文件检查异常处理 检查项内容 检查节点上关键组件的配置文件是否存在。 当前检查文件列表如下: 文件名 文件内容 备注 /opt/cloud/cce/kubernetes/kubelet/kubelet kubelet命令行启动参数 - /opt/cloud/cce/kub
14 节点DNS检查异常处理 检查当前节点DNS配置是否能正常解析OBS地址 检查当前节点是否能访问存储升级组件包的OBS地址 15 节点关键目录文件权限检查异常处理 检查CCE使用的目录/var/paas内文件的属主和属组是否都为paas。 16 节点Kubelet检查异常处理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
