检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通过配置kubeconfig文件实现集群权限精细化管理 问题场景 CCE默认的给用户的kubeconfig文件为cluster-admin角色的用户,相当于root权限,对于一些用户来说权限太大,不方便精细化管理。 目标 对集群资源进行精细化管理,让特定用户只能拥有部分权限(如:增、查、改)。
ding Pod,避免资源数量过大导致控制平面额外消耗资源。 优化客户端访问模式 如果您需要多次查询集群资源数据,请优先考虑使用客户端缓存机制,避免频繁使用LIST查询。推荐使用Informer、Lister方式与集群通信,请参考client-go文档。 如果必须要使用LIST查询,建议合理使用:
设置插件支持的“参数配置”。 DNSConfig自动注入:启用后,会创建DNSConfig动态注入控制器,该控制器基于Admission Webhook机制拦截目标命名空间(即命名空间包含标签node-local-dns-injection=enabled)下Pod的创建请求,自动为Pod配置
Kubernetes 1.25版本说明 云容器引擎(CCE)严格遵循社区一致性认证。本文介绍Kubernetes 1.25版本相对于1.23版本所做的变更说明。 索引 主要特性 弃用和移除 CCE对Kubernetes 1.25版本的增强 参考链接 主要特性 Kubernetes
创建容器工作负载 在本章节中,您将会把应用部署到CCE中。首次使用CCE时,您需要创建一个初始集群,并添加一个节点。 应用镜像上传到容器镜像服务后,部署容器应用的方式都是基本类似的。不同点在于是否需要设置环境变量,是否需要使用云存储,这些也是和业务直接相关。 使用云服务 云容器引
Kubernetes 1.25版本说明 云容器引擎(CCE)严格遵循社区一致性认证。本文介绍Kubernetes 1.25版本相对于1.23版本所做的变更说明。 索引 主要特性 弃用和移除 CCE对Kubernetes 1.25版本的增强 参考链接 主要特性 Kubernetes
0 37s 在节点资源无法满足high_priority_job的情况下,volcano-scheduler的优先级抢占机制将被启用,驱逐med_priority_job后,将high_priority_job部署到节点上。在Cluster Autoscaler
容器安全插件 CCE密钥管理(对接 DEW) 容器镜像签名验证 父主题: 插件
Kubernetes 1.30版本说明 云容器引擎(CCE)严格遵循社区一致性认证,现已支持创建Kubernetes 1.30集群。本文介绍Kubernetes 1.30版本的变更说明。 索引 新增特性及特性增强 API变更与弃用 CCE对Kubernetes 1.30版本的增强
Kubernetes 1.30版本说明 云容器引擎(CCE)严格遵循社区一致性认证,现已支持创建Kubernetes 1.30集群。本文介绍Kubernetes 1.30版本的变更说明。 索引 新增特性及特性增强 API变更与弃用 CCE对Kubernetes 1.30版本的增强
升级集群 升级集群的流程和方法 升级前须知 升级后验证 集群跨版本业务迁移 升级前检查异常问题排查 父主题: 集群
漏洞公告 漏洞修复策略 Kubernetes安全漏洞公告(CVE-2024-10220) Kubernetes安全漏洞公告(CVE-2024-9486,CVE-2024-9594) NVIDIA Container Toolkit容器逃逸漏洞公告(CVE-2024-0132) Linux
io的污点:该污点作用于节点。由于Autoscaler原生支持异常扩容保护策略,会定期评估集群的可用节点比例,非Ready分类节点数统计比例超过45%比例会触发保护机制;而集群中任何存在该污点的节点都将从自动缩放器模板节点中过滤掉,记录到非Ready分类的节点中,进而影响集群的扩缩容。 Pod避免使用cluster-autoscaler
调度。 图1 NUMA调度策略对比 调度优先级 不管是什么拓扑策略,都是希望把Pod调度到当时最优的节点上,这里通过给每一个节点进行打分的机制来排序筛选最优节点。 原则:尽可能把Pod调度到需要跨NUMA节点最少的工作节点上。 打分公式如下: score = weight * (100
IAM用户无法使用调用API 问题现象 使用IAM用户调用API时,出现以下报错: "code":403,"message":"This user only supports console access, not programmatic access." 该错误表示IAM用户没有编程访问权限。
CCE节点安全配置建议 及时跟踪处理官网发布的漏洞 节点在新的镜像发布前请参考漏洞公告,完成节点漏洞修复。 节点不暴露到公网 如非必需,节点不建议绑定EIP,以减少攻击面。 在必须使用EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。 在使用cce集
升级集群的流程和方法 云容器引擎(CCE)严格遵循社区一致性认证,每年发布3个Kubernetes版本,每个版本发布后提供至少24个月的维护周期,CCE保证维护周期内的Kubernetes版本的稳定运行。 为了保障您的服务权益,请您务必在维护周期结束之前升级您的Kubernete
示例:某部门权限设计及配置 概述 随着容器技术的快速发展,原有的分布式任务调度模式正在被基于Kubernetes的技术架构所取代。云容器引擎(Cloud Container Engine,简称CCE)是高度可扩展的、高性能的企业级Kubernetes集群,支持社区原生应用和工具。
parameterSyncStrategy设置为force或者inherit策略后才能完成升级。 修改Corefile配置项后,需要等待CoreDNS内部的Reload机制自动完成配置刷新(约在十秒内配置生效)。 完成Corefile编辑后,单击“确定”。 组件说明 表5 coredns组件 容器组件 说明 资源类型
通过动态存储卷使用文件存储 本文介绍如何通过存储类动态创建PV和PVC,并在工作负载中实现数据持久化与共享性。 前提条件 您已经创建好一个集群,并且在该集群中安装CCE容器存储(Everest)。 如果您需要通过命令行创建,需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
