检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Server:提供基础资源使用指标,例如容器CPU和内存使用率。所有集群版本均可安装。 云原生监控插件:该插件支持v1.17及以后的集群版本。 根据基础资源指标进行弹性伸缩:需将Prometheus注册为Metrics API的服务,详见通过Metrics API提供基础资源指标。 根据自
出现该问题的原因是kubectl top node是调用kubelet的metrics API来获取数据的,因此看到的是节点上已使用的资源总和除以可分配的所有资源。 社区issue链接:https://github.com/kubernetes/kubernetes/issues/86499。
图,帮助您更好的监控APIServer的运行状态。主要包括APIServer组件的请求、资源、工作队列等相关指标。 指标说明 APIServer视图暴露的指标包括请求指标、工作队列指标和资源指标,具体说明如下: 图1 请求指标 表1 请求指标说明 指标名称 单位 说明 存活数 个
输出日志、容器文件日志、节点日志及Kubernetes事件日志进行采集与转发。 约束与限制 每个集群最多支持创建50条日志规则。 云原生日志采集插件不会采集.gz、.tar、.zip后缀类型的日志文件,且不支持采集日志文件的软链接。 采集容器文件日志时,若节点存储模式为Device
self/fd/<num>,以实现在容器运行后访问节点文件系统。 工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限,将镜像中WORKDIR设置为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。 漏洞影响 满足上述漏洞利用条件时,容器进程可能逃逸到节点,导致节点信息泄露或执行恶意命令。
String 唯一id标识 name String 资源名称 labels Map<String,String> 资源标签,key/value对格式,接口保留字段,填写不会生效 annotations Map<String,String> 资源注解,由key/value组成 updateTimestamp
于创建本地存储池。 禁用全局访问密钥挂载对象存储(disable_auto_mount_secret) 可视化界面配置 挂载对象桶/并行文件系统时,是否允许使用默认的AKSK。 是:对象存储PVC未指定自定义挂载密钥时,默认使用用户上传的全局长效密钥挂载对象存储。 否:对象存储P
CBC资源锁定 约束限制: 不涉及 取值范围: true: 是CBC锁定资源 false: 非CBC锁定资源 lockScene String 参数解释: CBC资源锁定场景 约束限制: 不涉及 取值范围: 不涉及 lockSource String 参数解释: 锁定资源 约束限制:
云服务接口:支持操作云服务层面的基础设施(如创建节点),也可以调用集群层面的资源(如创建工作负载)。 使用云服务接口时,必须配置集群管理(IAM)权限。 集群接口:直接通过Kubernetes原生API Server来调用集群层面的资源(如创建工作负载),但不支持操作云服务层面的基础设施(如创建节点)。
单击“高级搜索”,按照工作负载、节点、Pod名称、事件内容、资源类型或者资源名称进行搜索。 也可以在左上角选择事件发生的时间范围,包括近1小时、近1天、近1周和自定义。 图4 搜索事件 事件列表 您可以在列表中查看满足搜索条件的事件详情,包括最近发生时间、事件名称、资源类型、资源名称、事件内容、事件类型和发生
修改节点进程 ID数量上限kernel.pid_max 背景信息 进程 ID(PID)是节点上的一种基础资源,容易在尚未超出其它资源约束的时候触及进程ID数量上限,进而导致节点不稳定。 您可以根据实际业务需求调整进程ID数量上限。 默认kernel.pid_max说明 CCE在2022年1月底将1
用配置Pod间反亲和,或减少单节点的Pod数量上限。 考虑单独挂盘,如用户创建节点时挂载额外用户数据盘或应用动态挂载存储等等,然后将业务日志输出到额外挂载盘中的文件。 父主题: 节点运行
有不必要的二进制文件。如果使用的是Docker Hub上的未知镜像,推荐使用如Dive这样的工具来审查镜像内容。Dive能够展示镜像每一层的详细内容,帮助您识别潜在的安全风险。更多信息,请参见Dive。 建议删除所有设置了SETUID和SETGID权限的二进制文件,因为这些权限可
当集群进行升级时,集群中不同版本的kube-apiserver为不同的内置资源集(组、版本、资源)提供服务。在这种情况下资源请求如果由任一可用的apiserver提供服务,请求可能会到达无法解析此请求资源的apiserver中,导致请求失败。该特性能解决该问题。(主要注意的是,C
当集群进行升级时,集群中不同版本的kube-apiserver为不同的内置资源集(组、版本、资源)提供服务。在这种情况下资源请求如果由任一可用的apiserver提供服务,请求可能会到达无法解析此请求资源的apiserver中,导致请求失败。该特性能解决该问题。(主要注意的是,C
按需转包年/包月 如果您需要长期使用当前按需购买的集群和节点,可以将该资源转为包年/包月计费模式,以节省开支。按需计费变更为包年/包月会生成新的订单,用户支付订单后,包年/包月资源将立即生效。 以集群为例,假设用户于2023/04/18 15:29:16购买了一个按需计费的集群,由于业务需要,于2023/04/18
目前只能尝试重新创建,定位方法请参见定位失败原因。 当前集群规模所需的底层资源不足,请选择其他规模的集群类型后重新创建集群。 确认账号是否欠费:账号必须是未欠费状态才可以购买资源,包括使用代金券购买资源,详情请参见账户总览、欠费还款。 定位失败原因 您可以参考以下步骤,通过集群
如果Pod进程因使用超过预先设定的限制值而非Node资源紧张情况,系统倾向于在其原来所在的机器上重启该容器。 如果资源充足,可将QoS Pod类型均设置为Guaranteed。用计算资源换业务性能和稳定性,减少排查问题时间和成本。 如果想更好的提高资源利用率,业务服务可以设置为Guarant
池kubelet组件配置参数或者重启节点kubelet后,该污点会被临时删除,可能会导致由于节点资源压力而触发驱逐的节点重新加入调度器计算流程中,Pod重新调度到该节点上,如果节点资源压力未缓解,之后节点会再次进入驱逐流程。 问题根因 当前kubelet上报Memory/Disk/PID
编辑Drainage资源的YAML。 Drainage-test.yaml示例如下: apiVersion: node.cce.io/v1 kind: Drainage metadata: name: 192.168.1.67-1721616409999 #Drainage资源名称 spec:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
