检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
为了加强容器镜像的安全性,首先应从镜像中移除所有不必要的二进制文件。如果使用的是Docker Hub上的未知镜像,推荐使用如Dive这样的工具来审查镜像内容。Dive能够展示镜像每一层的详细内容,帮助您识别潜在的安全风险。更多信息,请参见Dive。 建议删除所有设置了SETUID和SETG
如您需要自定义修改内核参数,请在修改之前,请务必确保您已完全理解该内核参数的具体含义和功能。请谨慎操作,错误的参数设置可能导致系统出现意外的错误,影响正常运行。 请特别注意以下两点: 确保了解内核参数的含义:需清楚内核参数的作用和影响,这将有助于您正确设置相应的值。 填写有效的内核参数值:内核参数值必须有效且符合预期要求,否则修改将不会生效。
用户访问集群API Server的方式有哪些? 当前CCE提供两种访问集群API Server的方式: 集群API方式:(推荐)集群API需要使用证书认证访问。直接连接集群API Server,适合大规模调用。 API网关方式:API网关采用token方式认证,需要使用账号信息获
CCE集群中工作负载镜像的拉取策略有哪些? 容器在启动运行前,需要镜像。镜像的存储位置可能会在本地,也可能会在远程镜像仓库中。 Kubernetes配置文件中的imagePullPolicy属性是用于描述镜像的拉取策略的,如下: Always:总是拉取镜像。 imagePullPolicy:
主要特性: Ingress的URL匹配支持Perl语法的正则表达式 v1.11.3-r0 主要特性: Kubernetes同步社区1.11.3版本 集群控制节点支持多可用区 容器存储支持对接SFS Turbo极速文件存储 参考链接 社区v1.9与v1.11版本之间的CHANGELOG v1
iptables:社区传统的kube-proxy模式,完全以iptables规则的方式来实现service负载均衡。该方式最主要的问题是在服务多的时候产生太多的iptables规则,非增量式更新会引入一定的时延,大规模情况下有明显的性能问题。 ipvs:主导开发并在社区获得广泛支持的kube-p
挂载的普通数据盘支持下调至10G。 调整容器运行时和Kubelet组件使用的数据盘大小存在一些风险,根据本文提供的预估方法,建议综合评估后再做实际调整。 过小的数据盘容量可能会频繁出现磁盘空间不足,导致镜像拉取失败的问题。如果节点上需要频繁拉取不同的镜像,不建议将数据盘容量调小。
ice的后端能够被添加到同一个ELB监听器上。通过同一个ELB实例将流量转发到不同集群上的Pod,且支持配置权重。参见为ELB配置同VPC内不同集群的后端和为ELB配置不同VPC间的跨集群后端。 图1 配置不同集群后端示意图 集群的容器实例和ECS虚拟机作为同一个ELB监听器后端
选择合适的镜像 Alpine容器镜像内置的musl libc库与标准的glibc存在以下差异: 3.3版本及更早版本的Alpine不支持search参数,不支持搜索域,无法完成服务发现。 并发请求/etc/resolve.conf中配置的多个DNS服务器,导致NodeLocal DNSCache的优化失效。
约5%-15%)。所以容器隧道网络适用于对性能要求不是特别高的业务场景,比如:Web应用、访问量不大的数据中台、后台服务等。 大规模组网:相比VPC路由网络受限于VPC路由条目配额的限制,容器隧道网络没有网络基础设施的任何限制;同时容器隧道网络把广播域控制到了节点级别,容器隧道网络最大可支持2000节点规模。
不同命名空间下的Ingress共用监听器时如何同步生效的证书? 问题背景 在同一个集群中,多个Ingress可以使用同一个监听器(即使用同一个负载均衡器的同一个端口)。如果两个Ingress均配置了HTTPS证书,则生效的服务器证书将以最早创建的Ingress配置为准。 但是不同
CCE集群纳管节点时的常见问题及排查方法? 概述 本文主要介绍纳管/添加已有的ECS实例到CCE集群的常见问题。 纳管时,会将所选弹性云服务器的操作系统重置为CCE提供的标准镜像,以确保节点的稳定性,请选择操作系统及重置后的登录方式。 所选弹性云服务器挂载的系统盘、数据盘都会在纳管时被格式化,请确保信息已备份。
iptables:社区传统的kube-proxy模式,完全以iptables规则的方式来实现service负载均衡。该方式最主要的问题是在服务多的时候产生太多的iptables规则,非增量式更新会引入一定的时延,大规模情况下有明显的性能问题。 ipvs:主导开发并在社区获得广泛支持的kube-p
像仓库的密码。 DOCKER_EMAIL:第三方镜像仓库的邮箱。 创建工作负载时使用第三方镜像,具体步骤请参见如下。 kubernetes.io/dockerconfigjson类型的密钥作为私有镜像获取的认证方式,以Pod为例,创建的myregistrykey作为镜像的认证方式。
伴随着互联网技术的不断发展,各大企业的系统越来越复杂,传统的系统架构越来越不能满足业务的需求,取而代之的是微服务架构。微服务是将复杂的应用切分为若干服务,每个服务均可以独立开发、部署和伸缩;微服务和容器组合使用,可进一步简化微服务的交付,提升应用的可靠性和可伸缩性。 随着微服务的大量应用
Gitlab对接SWR和CCE执行CI/CD 应用现状 GitLab是利用Ruby on Rails一个开源的版本管理系统,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。与Github类似,GitLab能够浏览源代码,管理缺陷和注释。可以管理团队对仓库的访问,它非
与其它云服务的关系 云容器引擎需要与其他云服务协同工作,云容器引擎需要获取如下云服务资源的权限。 图1 云容器引擎与其他服务的关系示意图 云容器引擎与其他服务的关系 表1 云容器引擎与其他服务的关系 服务名称 云容器引擎与其他服务的关系 主要交互功能 弹性云服务器 ECS 在云容
性,可以增强Pod被缩容的随机性,缓解由于Pod拓扑分布约束带来的问题。更多信息,请参见KEP-2185和issues 96748。 BoundServiceAccountTokenVolume特性已稳定,该特性能够提升服务账号(ServiceAccount)Token的安全性,
吊销用户的集群证书 功能介绍 该API用于吊销指定集群的用户证书 吊销操作完成后,此证书申请人之前下载的证书和 kubectl 配置文件无法再用于连接集群。此证书申请人可以重新下载证书或 kubectl 配置文件,并使用新下载的文件连接集群 接口约束 吊销用户集群证书首先需要获取用户ID,如何获取
找到需要休眠的集群,查看集群的更多操作,并单击“休眠集群”。 图1 休眠集群 在弹出的集群休眠提示框中,查看风险提示,单击“是”,等待集群完成休眠。 集群休眠后,将暂停收取控制节点资源费用。集群所属的工作节点(ECS)、绑定的弹性IP、带宽等资源仍将按各自的计费方式进行收费。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
