检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
true参数,详情请参见在Pod中配置主机网络(hostNetwork)。配置完成后的Pod会占用宿主机的端口,Pod的IP就是宿主机的IP,不会占用容器网络的IP。使用时需要考虑是否与宿主机上的端口冲突,因此一般情况下除非某个特定应用必须使用宿主机上的特定端口,否则不建议使用主机网络。 父主题: 附录
容器网络带宽限制的配置建议 应用场景 同一个节点上的容器会共用主机网络带宽,对容器的网络带宽进行限制,可以有效避免容器之间相互干扰,提升容器间的网络稳定性。 约束与限制 Pod带宽限制功能规格如下: 功能规格 容器隧道网络模型 VPC网络模型 云原生网络2.0模型 支持的集群版本 所有集群版本均支持
您已创建一个安装CCE容器存储(Everest)的集群,并且集群版本≥1.21。若没有可用集群 ,请参照购买Standard/Turbo集群创建。 集群的节点至少分布在三个不同的可用区,若当前集群的节点分布尚未覆盖三个可用区,请参照创建节点或创建节点池在未部署的可用区中创建新节点。 操作步骤 k
亲和策略的节点,否则插件实例将无法运行。 容忍策略 容忍策略与节点的污点能力配合使用,允许(不强制)插件的 Deployment 实例调度到带有与之匹配的污点的节点上,也可用于控制插件的 Deployment 实例所在的节点被标记污点后插件的 Deployment 实例的驱逐策略。
法运行。 容忍策略 容忍策略与节点的污点能力配合使用,允许(不强制)插件的 Deployment 实例调度到带有与之匹配的污点的节点上,也可用于控制插件的 Deployment 实例所在的节点被标记污点后插件的 Deployment 实例的驱逐策略。 插件会对实例添加针对node
集群视角的成本可视化最佳实践 应用现状 当前使用CCE时,默认是以CCE整个云服务的粒度体现计费信息,没有划分不同集群使用的成本。 解决方案 通过给集群使用的资源打上CCE-Cluster-ID标签,在成本中心通过标签过滤汇聚整个集群所使用资源的成本,以集群为单位进行成本分析,降本增效。
批量删除指定集群的资源标签 功能介绍 该API用于批量删除指定集群的资源标签。 此接口为幂等接口:删除时,如果删除的标签key不存在,默认处理成功。 调用方法 请参见如何调用API。 URI POST /api/v3/projects/{project_id}/clusters/
进入“云服务退订”页面。 单击“退订使用中的资源”页签。 单个资源退订与批量退订可使用不同的操作方式: 退订单个资源:单击待退订资源所在行的“退订资源”。 图1 退订单个资源 批量退订:在退订列表中勾选需要退订的资源,单击列表左上角的“退订资源”。 图2 批量退订 在“退订资源
低集群中的提权攻击风险。因此您可以在系统插件安装页面,将节点亲和策略设置为“指定节点调度”或“指定节点池调度”。 容器安全配置建议 通过设置容器的计算资源限制(request和limit),避免容器占用大量资源影响宿主机和同节点其他容器的稳定性 如非必须,不建议将宿主机的敏感目录
挂载的普通数据盘支持下调至10G。 调整容器运行时和Kubelet组件使用的数据盘大小存在一些风险,根据本文提供的预估方法,建议综合评估后再做实际调整。 过小的数据盘容量可能会频繁出现磁盘空间不足,导致镜像拉取失败的问题。如果节点上需要频繁拉取不同的镜像,不建议将数据盘容量调小。
) 默认取值: 不涉及 X-Auth-Token 是 String 参数解释: 调用接口的认证方式分为Token和AK/SK两种,如果您使用的Token方式,此参数为必填,请填写Token的值,获取方式请参见获取token。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及
工作负载下的容器组 Pod 占用的磁盘空间设置上限(包含容器镜像占用的空间)。合理的配置可避免容器组无节制使用磁盘空间导致业务异常。建议此值不超过容器引擎空间的 80%。该参数与节点操作系统和容器存储Rootfs相关,部分场景下不支持设置。 更多关于容器存储空间分配的内容,请参考数据盘空间分配说明。
搜索域:即dnsConfig字段中的searches参数,表示域名查询时的DNS搜索域列表,此属性是可选的。指定后,提供的搜索域列表将合并到基于dnsPolicy生成的域名解析文件的search字段中,并删除重复的域名。 启用hostAliases:配置Pod的本地配置文件“/etc/h
其运行结果是一致的。因此可以很轻易地将在一个平台上运行的应用,迁移到另一个平台上,而不用担心运行环境的变化导致应用无法正常运行的情况。 更轻松的维护和扩展 Docker使用的分层存储以及镜像的技术,使得应用重复部分的复用更为容易,也使得应用的维护更新更加简单,基于基础镜像进一步扩
登录容器实例 操作场景 如果在使用容器的过程中遇到非预期的问题,您可登录容器进行调试。 约束与限制 同一用户在使用CloudShell组件连接CCE集群或容器时,限制同时打开的实例上限数量为15个。 使用CloudShell登录容器 CloudShell基于VPCEP实现,在CloudS
ss(或其他集群的Service),因为kube-proxy会在ipvs-0的网桥上挂载LB类型的Service地址,ELB的流量会被ipvs-0网桥劫持。建议Ingress和Service(或不同集群的Service)使用不同ELB实例。 不推荐使用EulerOS 2.5、CentOS
存储”、“命名空间”等的权限。 基于IAM系统策略的“集群权限”与基于Kubernetes RBAC能力的“命名空间权限”,两者是完全独立的,互不影响,但要配合使用。同时,为用户组设置的权限将作用于用户组下的全部用户。当给用户或用户组添加多个权限时,多个权限会同时生效(取并集)。
批量添加指定集群的资源标签 功能介绍 该API用于批量添加指定集群的资源标签。 每个集群支持最多20个资源标签。 此接口为幂等接口:创建时,如果创建的标签已经存在(key/value均相同视为重复),默认处理成功;key相同,value不同时会覆盖原有标签。 调用方法 请参见如何调用API。
节点sock文件挂载检查异常处理 检查项内容 检查节点上的Pod是否直接挂载docker/containerd.sock文件。升级过程中Docker/Containerd将会重启,宿主机sock文件发生变化,但是容器内的sock文件不会随之变化,二者不匹配,导致您的业务无法访问Docker/Conta
nux内核的资源管理机制,能够限制进程对CPU、内存、磁盘和网络等资源的使用,防止单一进程过度占用资源,影响系统的整体性能。 尽管Namespace和Cgroup从资源层面上实现了容器与宿主机的环境独立性,使得宿主机的资源对容器不可见,但这种隔离并没有实现真正意义上的安全隔离。由