检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Plugins小于V0.8.6版本的节点有影响。 恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录,实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知,但是如果DNS返回了A(IPv4)和AAAA(IPv6)记录,许多HTTP库都会尝试IPv6进行连接,如果再
template是Pod的定义,内容与Pod中的定义完全一致。 将上面Deployment的定义保存到deployment.yaml文件中,使用kubectl创建这个Deployment。 使用kubectl get查看Deployment和Pod,可以看到READY值为2/2,前一个2表示当前有2个Pod
容器镜像服务支持使用Docker 1.11.2及以上版本上传镜像。 安装Docker、构建镜像建议使用root用户进行操作,请提前获取待安装docker机器的root用户密码。 以root用户登录待安装Docker的机器。 以CentOS Linux操作系统为例,您可以使用如下命令快速
LoadBalancer 使用Service的pass-through特性,使用ELB地址访问时绕过kube-proxy,先访问ELB,经过ELB再访问到负载。具体请参见LoadBalancer类型Service使用pass-through能力。 在CCE Standard集群中,当使用独享型负载
版本兼容性差异 版本升级路径 版本差异 建议自检措施 v1.23/v1.25 升级至v1.27 容器运行时Docker不再被推荐使用,建议您使用Containerd进行替换,详情请参见容器引擎说明。 已纳入升级前检查。 v1.23升级至v1.25 在Kubernetes v1
启用该能力后,可增强集群业务的吞吐量,提高业务运行性能。 修改完成后,单击“确认配置”。 配置完成后,可以在工作负载或Volcano Job中使用Gang调度能力。 创建工作负载使用Gang调度能力 首先创建PodGroup,需指定minMember和minResources信息如下: apiVersion:
您的业务无法访问Docker/Containerd。Pod重建后sock文件重新挂载,可恢复正常。 通常K8S集群用户基于如下场景在容器中使用上述sock文件: 监控类应用,以DaemonSet形式部署,通过sock文件连接Docker/Containerd,获取节点容器状态信息。
在业务Pod允许被驱逐重新调度的场景中,通过负载感知和热点打散重调度结合使用,可以获得集群最佳的负载均衡效果。关于热点打散重调度能力的使用请参见重调度(Descheduler)。 开启负载感知调度策略,使用默认权重值5。插件详情与配置方法请参见负载感知调度。 开启重调度能力,完成
影响建议您采取以下措施: 使用不涉及该问题的操作系统,如Huawei Cloud EulerOS 2.0、Ubuntu 22.04。对于EulerOS 2.9的节点,新建节点不涉及该问题,存量低版内核的节点需要升级至已修复版本,详情请参见修复计划。 使用服务转发模式为iptables的集群。
作详情请参见购买SSL证书。 约束与限制 仅使用独享型ELB时,Ingress支持对接HTTPS协议的后端服务。 对接HTTPS协议的后端服务时,Ingress的对外协议也需要选择HTTPS。 配置HTTPS协议的后端服务 您可以使用以下方式为Ingress配置HTTPS协议的后端服务。
28.6-r0及以上 v1.29集群:v1.29.2-r0及以上 其他更高版本的集群 您需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。 约束与限制 该特性仅在使用独享型ELB时支持配置。 该特性依赖ELB高级转发策略,开启后将不再根据域名/路径匹配确定优
集群可以继续使用,不影响业务功能。 1:单个控制节点,不建议在商用场景使用。 3 节点 OS类型 EulerOS CentOS Ubuntu EulerOS 节点规格(根据实际区域可能存在差异) 通用型:该类型实例提供均衡的计算、存储以及网络配置,适用于大多数的使用场景。通用型实
限提升漏洞。该漏洞为中危漏洞,CVSS评分为6.4。 如果有多个集群共享使用了相同的CA和认证凭证,攻击者可以利用此漏洞攻击其他集群,这种情况下该漏洞为高危漏洞。 对于此次漏洞的跨集群攻击场景,CCE集群使用了独立签发的CA,同时不同集群间认证凭据完全隔离,跨集群场景不受影响。 从v1
客户端证书有效期需要5年以上。 上传的CA根证书既给认证代理使用,也用于配置kube-apiserver聚合层,如不合法,集群将无法成功创建。 从1.25版本集群开始,Kubernetes不再支持使用SHA1WithRSA、ECDSAWithSHA1算法生成的证书认证,推荐使用SHA256算法生成的证书进行认证。
插件管理接口调用的URL格式为:https://{clusterid}.Endpoint/uri,但{clusterid}参数仅用于域名,不会被接口校验和使用。插件管理实际使用的{clusterid}参数请参考插件管理,填写在query或body体中。 {clusterid}参数对Kubernetes A
参见购买SSL证书。 约束与限制 仅使用独享型ELB时,Ingress支持对接GRPC协议的后端服务。 对接GRPC协议的后端服务时,Ingress的对外协议也需要选择HTTPS,且需要开启HTTP/2。 配置GRPC协议的后端服务 您可以使用以下方式为Ingress配置GRPC协议的后端服务。
Pod调度失败 在使用过程中,如果只开启了Volcano插件的NUMA开关,没有配置CPU管理策略,且调度器为volcano时,可能导致作业调度失败,请根据以下要点进行问题排查。 在使用NUMA亲和性调度前,请保证已部署Volcano插件且插件运行状态正常。 在使用NUMA亲和性调度时:
留的cgroup达到节点上限后,导致该节点无法继续新建Pod。 解决方法 该问题可以通过可以在内核层全局使用 “cgroup.memory=nokmem” 参数关闭kmem使用防止发生泄漏。 1.17集群版本已停止维护,修复该问题建议升级至1.19及以上集群版本,并通过节点重置为
监控插件。 本地数据存储:此处选择使用本地存储监控数据,监控数据可选择是否对接AOM或三方监控平台。 自定义指标采集:该配置在本实践中必须选择开启,否则将无法采集容器网络扩展指标。 (可选)安装Grafana:选择安装Grafana后,可以使用图表查看指标。 该配置在3.9.0以下版本的插件中支持。对于3
如果集群所在VPC使用了扩展网段,创建、重置节点等操作也会将扩展网段添加到集群私有网段中。 在Pod中发起访问请求时,如果Pod访问的目的地址在集群私有网段范围内,则节点不会将Pod IP进行网络地址转换,可以借由上层VPC直接将报文送达至目的地址,即直接使用Pod IP与集群私有网络地址进行通信。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
