检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
这里的subjects就是将Role与用户绑定起来,用户可以是外部普通用户,也可以是ServiceAccount,这两种用户类型在ServiceAccount有过介绍。绑定后的关系如下图所示。 图2 RoleBinding绑定Role和用户 下面来验证一下授权是否生效。 在前面一
集群中访问集群外地址时使用Pod IP作为客户端源IP。 说明: 如果需要保证节点能正常访问跨节点的Pod,该参数中设置的网段必须包含节点的子网网段。 同理,如果同VPC下的其他ECS节点需要能正常访问Pod IP,该参数中设置的网段必须包含ECS所在子网网段。 Pod访问元数据(CCE
私有网络:数据访问必须在数据中心内部网络中。 容量性能:单卷容量有限(TB级),但性能极佳(IO读写时延ms级)。 使用限制:不支持导入分区过或者具有非ext4文件系统的云硬盘。 应用场景:主要面向HPC高性能计算、企业核心集群应用、企业应用系统和开发测试等。适用于供单实例部署的无状
nx.conf的配置可以提供一个对外访问Nginx监控数据的接口。 登录一台可连接公网的Linux虚拟机,且要求可执行Docker命令。 创建一个nginx.conf文件,如下所示,在http下添加server配置即可让nginx提供对外访问的监控数据的接口。 user nginx;
云原生成本治理的成本可视化需要结合实际账单,账单信息需要放入用户OBS桶中,需要访问用户OBS桶,因此需要获得该权限。 CCE CBC Finance 云原生成本治理需要帮用户订阅用户的CBC账单信息。订阅后,CBC会定期将用户账单信息放入用户OBS桶中,供云原生成本治理使用,因此需要获得该权限。
onJob)四种资源类型的容器实例(Pod),弹性创建到云容器实例CCI服务上,以减少集群扩容带来的消耗。 约束与限制 仅支持VPC网络模式的CCE Standard集群和CCE Turbo集群,暂不支持Arm集群。如果集群中包含Arm节点,插件实例将不会部署至Arm节点。 暂不
说明 操作步骤 更新访问密钥 通过CCE控制台更新对象存储的访问密钥。 在左侧导航栏选择“存储”,在右侧选择“存储卷声明”页签。单击PVC操作列的“更多 > 更新访问密钥”。 上传.csv格式的密钥文件,详情请参见获取访问密钥。单击“确定”。 说明: 更新全局访问密钥后,租户下所有
按最小权限原则,只给予受信用户创建及管理Ingress的权限。 社区已发布nginx-ingress v1.11.2版本修复该漏洞,但该版本仅支持 Kubernetes >= 1.26 ,因此若CCE集群版本低于v1.27,请先升级集群版本。 相关链接 社区已经发布版本修复:https://github
AppArmor和SELinux是两种强制访问控制系统(MAC),它们提供了一种比传统的Discretionary Access Control(DAC)更为严格的方法来限制和管理进程的权限。这些系统在概念上与Seccomp类似,但它们专注于提供更为细致的访问控制,包括对文件系统路径、网络端口和其他资源的访问。 A
程节点无重置无重启,原节点密码将保留。 集群管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径。 调用方法 请参见如何调用API。 URI PUT /api/v3/projects/{project_id}/clusters/
网络 网络概述 容器网络 服务(Service) 路由(Ingress) DNS 集群网络配置 容器如何访问VPC内部网络 从容器访问公网 网络管理最佳实践
修改节点最大实例数。详情请参见节点池配置管理。 默认场景下,节点最大实例数最多可调整至256。如果您期望提升节点上的部署密度,您可以提交工单申请调整节点最大实例数,最大支持修改至512个实例。 图2 创建节点时的最大实例数配置 根据节点规格不同,节点默认最大实例数如表1所示。 表1
clusters Array of Clusters objects 集群列表。 users Array of Users objects 存放了指定用户的一些证书信息和ClientKey信息。 contexts Array of Contexts objects 上下文列表。 current-context
集群安装nginx-ingress插件失败,一直处于创建中? 问题背景 客户已经购买并搭建了CCE集群,希望在公网上可以访问到CCE上部署的应用服务,目前最高效的方式是在ingress资源上注册该应用的Service路径,从而满足要求。 但客户安装ingress插件后,插件状态一直显示“创建中”,
储到磁盘中。 由于专属存储为非共享模式,工作负载下多个实例无法同时挂载,会导致实例启动异常。因此挂载专属存储盘时,工作负载实例数需为1。 如果您需要使用多实例的工作负载,请选择创建有状态工作负载,并使用动态挂载能力为每个实例挂载一个PV,详情请参考在有状态负载中动态挂载专属存储。
台上,证书也在CCE的管理平台上,不对用户开放,这个证书在平台上会定期维护,不会出现过期的情况。 X509证书在Kubernetes集群上也是默认开启的,更新平台自动会维护更新。 获取集群证书 通过CCE控制台获取集群证书,使用该证书可以访问Kubernetes,详情请参见获取集群证书。
节点池Pod安全组配置 节点池中的节点上运行的 Pod 的安全组配置,可填写安全组 ID。与工作负载详情页面的安全组策略一起实现对集群下负载 Pod 网络访问控制。 参数名 取值范围 默认值 是否允许修改 作用范围 security_groups_for_nodepool UUID列表,最大支持配置5个。
方式二:已有集群中开启 登录CCE控制台,进入一个已有的集群(集群版本为v1.23及以上)。 在“总览”页面,查看控制节点信息,如集群未开启过载控制,此处将会出现相应提示。如需开启过载控制,您可单击“立即开启”。 图2 已有集群开启过载控制 集群过载监控 方式一:CCE界面 登录CCE控制台,进入一个已有的集群(集群版本为v1
场景二:通过网络策略限制Pod只能被带有特定标签的Pod访问,且只能访问指定Pod 图4 同时使用Ingress和Egress 目标Pod具有role=db标签,该Pod只允许带有role=frontend标签的Pod访问其6379端口,且该Pod只能访问带有role=web标签的Pod。网络策
U敏感,CPU敏感型应用有如下特点。 对CPU throttling 敏感 对上下文切换敏感 对处理器缓存未命中敏感 对跨Socket内存访问敏感 期望运行在同一物理CPU的超线程 如果您的应用有以上其中一个特点,可以利用Kubernetes中提供的CPU管理策略为应用分配独占的
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
