检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
String 参数解释: authenticating_proxy模式配置的x509格式CA证书签发的客户端证书,用于kube-apiserver到扩展apiserver的认证。(base64编码)。 约束限制: 当集群认证模式为authenticating_proxy时,此项必须填写。
并不是实际使用的资源。如果您自己手动运行一个很耗资源的程序,Kubernetes并不能感知到。 另外所有Pod上都要声明resources。对于没有声明resources的Pod,它被调度到某个节点后,Kubernetes也不会在对应节点上扣掉这个Pod使用的资源。可能会导致节点上调度过去太多的Pod。
<none> 8080/TCP 14m 访问Service。 在集群内的容器或节点上都能够访问Service。 创建一个Pod并进入到容器内,使用curl命令访问Service的IP:Port或域名,如下所示。 其中域名后缀可以省略,在同个命名空间内可以直接使用nginx-
优先多可用区部署:通过设置Pod间反亲和(podAntiAffinity)实现,优先将工作负载的Pod调度到不同可用区的节点上。 强制多可用区部署:通过设置Pod间反亲和(podAntiAffinity)实现,强制将工作负载的Pod调度到不同可用区的节点上,如集群下节点支持的可用区数量小于实例数,工作负载的Pod无法全部运行。
节点运行时检查异常处理 该告警通常发生在低版本集群升级到v1.27及以上集群。CCE不建议您在1.27以上版本集群中继续使用docker,并计划在未来移除对docker的支持。 64 节点池运行时检查异常处理 该告警通常发生在低版本集群升级到v1.27及以上集群。CCE不建议您在1.27
name: default-secret 创建Service 下面示例创建一个名为“nginx”的Service,通过selector选择到标签“app:nginx”的Pod,目标Pod的端口为80,Service对外暴露的端口为8080。 访问服务只需要通过“服务名称:对外暴露
池的Pod调度到该节点上。 例外场景:NPD无法检测所有PV(数据盘)丢失,导致VG(存储池)丢失的场景;此时依赖kubelet自动隔离该节点,其检测到VG(存储池)丢失并更新nodestatus.allocatable中对应资源为0,避免依赖存储池的Pod调度到该节点上。无法检
CCE是否支持nginx-ingress? nginx-ingress简介 nginx-ingress是比较热门的ingress-controller,作为反向代理将外部流量导入到集群内部,将Kubernetes内部的Service暴露给外部,在Ingress对象中通过域名匹配Service,这样就可以直接通过域名访问到集群内部的服务。
则,请注意如下端口需要放通。 表8 Node节点安全组出方向规则最小范围 端口 放通地址段 说明 UDP:53 子网的DNS服务器 用于域名解析。 UDP:4789(仅容器隧道网络模型的集群需要) 所有IP地址 容器间网络互访。 TCP:5443 Master节点网段 Maste
16.0版本开始增加了大量检查项,能对节点上各种资源和组件的状态检测,帮助发现节点故障。 强烈建议您安装该插件,如已安装请查看插件版本并升级到1.16.0及以上版本。 安装NPD插件后,当节点出现异常时,控制台上可以查看到指标异常。 您还可以在节点事件中查看到NPD上报的事件,根据事件信息可以定位故障。
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
会再重新加载节点上的resolve.conf配置。建议: 保持集群中各个节点的resolve.conf配置一致,这样CoreDNS可以调度到集群中的任意一个节点。 修改集群中节点的resolve.conf文件时,如果节点有CoreDNS实例,请及时重启节点上的CoreDNS,保持状态一致。
参数说明 多可用区部署 优先模式:优先将插件的Deployment实例调度到不同可用区的节点上,如集群下节点不满足多可用区,插件实例将调度到单可用区下的不同节点。 均分模式:插件Deployment实例均匀调度到当前集群下各可用区,增加新的可用区后建议扩容插件实例以实现跨可用区高可用
参数说明 多可用区部署 优先模式:优先将插件的Deployment实例调度到不同可用区的节点上,如集群下节点不满足多可用区,插件实例将调度到单可用区下的不同节点。 均分模式:插件Deployment实例均匀调度到当前集群下各可用区,增加新的可用区后建议扩容插件实例以实现跨可用区高可用
-subject -noout -text 更新证书操作 使用TLS类型的密钥证书:需要将证书导入至Secret中,CCE会将该证书自动配置到ELB侧(证书名以k8s_plb_default开头),由CCE自动创建的证书在ELB侧不可修改或删除。如果您需要修改证书,请在CCE侧更新对应的Secret。
如果被访问服务设置白名单,白名单未添加节点网段或容器网段。 对于此类问题,您需要添加容器和节点网段到白名单。具体白名单的设置步骤,请在对应服务的帮助文档中查找。 域名解析 当访问外部域名时,Pod先使用集群的域名解析功能解析被访问目标的地址,后经过Pod侧的网络策略再进行访问,此时可能出现域名无法解析的情况,常见的报错有:
息,并在弹出页面中下载配置文件。 配置kubectl。 登录到您的客户端机器,复制1.b中下载的配置文件(kubeconfig.json)到您客户端机器的/home目录下。 配置kubectl认证文件。 cd /home mkdir -p $HOME/.kube mv -f kubeconfig
statefulset.apps/nginx created 命令执行后,查询一下StatefulSet和Pod,可以看到Pod的名称后缀从0开始到2,逐个递增。 # kubectl get statefulset NAME READY AGE nginx 3/3 107s
为负载均衡类型的Service配置服务器名称指示(SNI) SNI证书是一种扩展服务器证书,允许同一个IP地址和端口号下对外提供多个访问域名,可以根据客户端请求的不同域名来使用不同的安全证书,确保HTTPS通信的安全性。 在配置SNI时,用户需要添加绑定域名的证书,客户端会在发起
选择合适的镜像 Alpine容器镜像内置的musl libc库与标准的glibc存在以下差异: 3.3版本及更早版本的Alpine不支持search参数,不支持搜索域,无法完成服务发现。 并发请求/etc/resolve.conf中配置的多个DNS服务器,导致NodeLocal DNSCache的优化失效。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
