检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
志以及监控指标,对问题进行全面的分析和判定,并提供具体的修复建议。这种综合诊断方法不仅提高了故障定位的准确性,还显著减少了运维人员的工作负担,从而提升了整体运维效率。 前提条件 已获取资源权限。 集群版本高于v1.17。 集群处于“运行中”状态。 选择Pod进行诊断 登录CCE控制台,单击集群名称进入集群详情页。
如果您持有多个到期日不同的资源,或者您的云服务器和其上挂载的云硬盘到期日不同,可以将到期日统一设置到一个日期,便于日常管理和续费。 图10展示了用户将两个不同时间到期的资源,同时续费一个月,并设置“统一到期日”后的效果对比。 图10 统一到期日 更多关于统一到期日的规则请参见如何设置统一到期日。
问题原因 该告警事件说明节点上绑定的云硬盘已达上限,挂载云硬盘的工作负载实例调度到该节点后,无法继续挂载云硬盘,导致工作负载无法正常运行。 例如,假设节点可挂载的云硬盘上限为20,除去节点上已挂载的1块系统盘和1块数据盘后,节点剩余可挂载的云硬盘数量为18块。若该节点通过ECS
允许调度器将Pod调度至带有对应污点的节点上。 容忍度需要和节点污点相互配合,每个节点上都可以拥有一个或多个污点,对于未设置容忍度的Pod,调度器会根据节点上的污点效果进行选择性调度,可以用来避免Pod被分配到不合适的节点上。更多关于容忍度的使用示例请参见污点和容忍度。 污点可以指定多种效果,对应的容忍策略对Pod运行影响如下:
健康检查探针(Liveness、Readiness)偶现检查失败? 健康检查探针偶现检测失败,是由于容器内的业务故障所导致,您需要优先定位自身业务问题。 常见情况有: 业务处理时间长,导致返回超时。 tomcat建链和等待耗费时间太长(连接数、线程数等),导致返回超时。 容器所在节点,磁盘IO等性能达到瓶颈,导致业务处理超时。
3.9.0后的版本回滚至3.9.0前的版本,请先卸载Grafana插件再进行回滚操作。 权限说明 云原生监控插件中的node-exporter组件会监控Docker的存储磁盘空间,需要读取宿主机的/var/run/docker.sock的获取Docker的info的数据。 node-exporter运行需要以下特权:
命名空间权限和集群管理权限是相互独立又相互补充的两个权限体系: 命名空间权限:作用于集群内部,用于管理集群资源操作(如创建工作负载等)。 集群管理(IAM)权限:云服务层面的权限,用于管理CCE集群与周边资源(如VPC、ELB、ECS等)的操作。 对于IAM Admin用户组的管理员用
开启集群过载控制 操作场景 过载控制开启后,将根据控制节点的资源压力,动态调整系统外LIST请求的并发限制,维护控制节点和集群的可靠性。 约束与限制 集群版本需为v1.23及以上。 开启集群过载控制 方式一:创建集群时开启 创建v1.23及以上集群时,可在创建集群过程中,开启过载控制选项。
内存(GiB):扩容时,集群下所有节点内存之和的上限,超过该值时将不再扩容。默认不限。 统计节点、CPU和内存总数时,包含自定义节点池的不可用节点,但是不包含默认节点池中的不可用节点。 节点池扩容优先级 节点池列表可通过拖拽调整扩容优先级。 弹性缩容配置 CCE集群弹性引擎将综合判断整集群的资源情况,在满足负
CCE支持将极速文件存储(SFS Turbo)创建的存储卷挂载到容器的某一路径下,以满足数据持久化的需求。极速文件存储具有按需申请,快速供给,弹性扩展,方便灵活等特点,适用于海量小文件业务,例如DevOps、容器微服务、企业办公等应用场景。 SFS Turbo为用户提供一个完全托管的共享文件存储,能够弹性伸
获取目标集群bearer_token信息。 1.21以前版本的集群中,Pod中获取Token的形式是通过挂载ServiceAccount的Secret来获取Token,这种方式获得的Token是永久的。该方式在1.21及以上的版本中不再推荐使用,并且根据社区版本迭代策略,在1.25及以上版本的集群中,ServiceA
可自动创建对象存储和对应的PV对象。适用于无可用的底层存储,需要新创建的场景。 计费说明 挂载对象存储类型的存储卷时,通过StorageClass自动创建的对象存储默认创建计费模式为“按需计费”。关于对象存储的价格信息,请参见对象存储计费说明。 如需使用包周期的对象存储,请使用已有的对象存储进行挂载。
namespace 集群中存在的命名空间 default 支持初始化时配置,不支持后续修改 - 命名空间为资源的隔离维度,一旦指定后不允许修改 配置建议: 建议按照业务、部门等归属合理划分命名空间,避免将大量资源堆叠在default命名空间下 配置项标签 配置项附带的标签 参数名 取值范围
ss),即可自动创建文件存储和对应的PV对象。适用于无可用的底层存储,需要新创建的场景。 计费说明 挂载文件存储类型的存储卷时,通过StorageClass自动创建的文件存储默认创建计费模式为“按需计费”,按实际使用的存储容量和时长收费。关于文件存储的价格信息,请参见文件存储计费说明。
措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel.core_pattern内核参数,在集群中的任何节点上以root身份实现容器逃逸和执行任意代码。 该问题已被收录为CVE-2022-0811。 表1
)、-(中划线)、.(点) 无 允许 CCE Standard/CCE Turbo 当负载均衡器的type指定为public时,可以指定的公网带宽的名称。 公网带宽付费模式 公网带宽的付费模式:bandwidth为按带宽计费;traffic为按流量计费。 参数名 取值范围 默认值
指定节点池调度:指定工作负载Pod部署的节点池。若不指定,将根据集群默认调度策略随机调度。 自定义亲和策略:根据节点标签实现灵活的调度策略,支持的亲和性规则请参见表2。选择合适的策略类型后可以添加对应的调度策略,参数详情请参见表3。 自定义亲和策略 选择合适的节点亲和性规则,并单击,添加相应的调度策略。本
必须同时删除该用户的集群管理权限和命名空间权限。 场景二 如果某IAM用户拥有一定范围的集群管理权限和命名空间权限,然后在界面下载kubeconfig认证文件。此时CCE根据用户信息的权限判断kubectl有权限访问哪些Kubernetes资源,即哪个用户获取的kubeconfi
在Volume中引用Secret,就是通过文件的方式直接将Secret的每条数据填入Volume,每条数据是一个文件,键就是文件名,键值就是文件内容。 如下示例中,创建一个名为vol-secret的Volume,这个Volume引用名为“mysecret”的Secret,再将Volume挂载到容器的“/tmp”路
filter,在内核以及权限满足时受该漏洞影响。 CCE当前不受影响 判断方法 uname -a查看内核版本号 规避和消减措施 CCE集群节点不受该漏洞影响。对于自建的K8s集群,建议用户对工作负载: 最小权限运行容器 根据社区提供的配置方法配置seccomp 相关链接 https://blog.aquasec.c
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
