-
为Nginx Ingress配置HTTPS证书 - 云容器引擎 CCE
Ingress配置HTTPS证书 Ingress支持配置HTTPS证书以提供安全服务。 请参见通过kubectl连接集群,使用kubectl连接集群。 Ingress支持使用kubernetes.io/tls和IngressTLS两种TLS密钥类型,此处以IngressTLS类型为例,详情请参见创建密钥。kubernetes
-
修复Docker操作系统命令注入漏洞公告(CVE-2019-5736) - 云容器引擎 CCE
产生影响。 漏洞修复方案 华为云CCE容器服务: 华为云容器引擎已修复runc漏洞CVE-2019-5736。 自建Kubernetes或使用开源容器引擎: 升级Docker到18.09.2版本,由于开源Docker在17.06之后的版本做了较大变更,涉及架构解耦重构,该办法可能
-
通过告警中心一键配置告警 - 云容器引擎 CCE
(changes(kube_statefulset_status_replicas_updated[5m]) == 0) 容器CPU使用率大于百分之八十 检查容器CPU使用率是否大于80% 指标类 云原生监控插件 100 * (sum(rate(container_cpu_usage_seconds_total{image
-
监控中心概述 - 云容器引擎 CCE
运维数据进行统一采集、存储和可视化展现,精心打造云原生应用的良好可观测性能力。 将云原生基础设施监控和应用负载监控进行关联,提供全栈监控,使用户能够随时随地清晰地感知基础设施和应用负载状态。 能够对Kubernetes集群、节点、容器组(Pod)等进行详细监控,对业务提供端到端追
-
Kubernetes kubelet和kube-proxy授权问题漏洞公告(CVE-2020-8558) - 云容器引擎 CCE
如果端口1234上的服务不需要额外的认证(因为假设只有其他localhost进程可以),那么很容易受到利用此bug进行攻击。 华为云提醒使用kube-proxy的用户及时安排自检并做好安全加固。 详情请参考链接:https://github.com/kubernetes/kub
-
设置工作负载升级策略 - 云容器引擎 CCE
Pod的,升级后之前ReplicaSet都一直存在,Deployment回滚做的就是使用之前的ReplicaSet再次把Pod创建出来。Deployment中保存ReplicaSet的数量可以使用revisionHistoryLimit参数限制,默认值为10。 父主题: 配置工作负载
-
设置工作负载升级策略 - 云容器引擎 CCE
Pod的,升级后之前ReplicaSet都一直存在,Deployment回滚做的就是使用之前的ReplicaSet再次把Pod创建出来。Deployment中保存ReplicaSet的数量可以使用revisionHistoryLimit参数限制,默认值为10。 父主题: 配置工作负载
-
设置可用区亲和性 - 云容器引擎 CCE
在“高级配置”中,选择“标签与注解”,并填写以下注解。 键:node.cce.io/node-az-list 值:可用区名称,多个可用区间使用英文逗号隔开。 不同区域的可用区名称请参见地区和终端节点。 图1 设置可用区亲和性 填写其他工作负载参数后,单击“创建工作负载”。 父主题:
-
资源和成本规划 - 云容器引擎 CCE
建议选择按需计费。 实例规格:共享型 公网带宽:按流量计费 带宽:5 Mbit/s 1 0.32元/小时+公网流量费用0.80元/GB(按照您实际使用的出云流量收取流量费) 父主题: 在CCE中安装部署Jenkins
-
迁移节点 - 云容器引擎 CCE
K8s标签、污点不受影响。 迁移完成后,节点上名为cce.cloud.com/cce-nodepool的系统标签会被删除。如果已有工作负载使用该标签进行亲和/反亲和调度,在Kubelet重启时会将该节点上已存在的Pod停止并重新调度。 父主题: 管理节点池
-
创建节点时password字段加盐加密的方法 - 云容器引擎 CCE
python3 -c "import crypt;print(crypt.crypt('******', crypt.mksalt()))" 使用base64 encode(即为password字段值): echo -n '******' | base64 | tr "\n" " "
-
为负载均衡类型的Service指定多个端口配置健康检查 - 云容器引擎 CCE
target_service_port字段必须配置,且不能重复。 TCP端口只能配置健康检查协议为TCP、HTTP,UDP端口必须配置健康检查协议为UDP。 操作步骤 使用"kubernetes.io/elb.health-check-options"注解的示例如下: apiVersion: v1 kind:
-
工作负载异常:GPU节点部署服务报错 - 云容器引擎 CCE
如果驱动地址填写错误,需要将插件卸载后重新安装,并配置正确的地址。 nvidia驱动建议放在OBS桶里,并设置为公共读。 相关链接 GPU节点使用nvidia驱动启动容器排查思路 GPU插件安装 父主题: 工作负载异常
-
收集容器日志 - 云容器引擎 CCE
为完整的数据目录。 费用说明 LTS创建日志组免费,并每月赠送每个账号一定量免费日志采集额度,超过免费额度部分将产生费用(价格计算器)。 使用云原生日志采集插件采集日志 启用云原生日志采集插件日志采集功能 在集群创建时启用云原生日志采集插件日志采集 登录云容器引擎(CCE)控制台。
-
spec - 云容器引擎 CCE
久卷存储配置ReadWriteOnce,文件存储及对象存储配置ReadWriteMany 回收策略 当与此PV绑定的PVC被删除以后,PV如何被处理的策略 参数名 取值范围 默认值 是否允许修改 作用范围 persistentVolumeReclaimPolicy 两种策略:Retain
-
DevOps持续交付 - 云容器引擎 CCE
提供丰富的接口便于与企业已有CI/CD系统进行集成,灵活适配企业的个性化诉求。 高性能 全容器化架构设计,任务调度更灵活,执行效率更高。 建议搭配使用 容器镜像服务SWR + 对象存储服务OBS + 虚拟专用网络VPN 图1 DevOps持续交付场景 父主题: 应用场景
-
安全组检查异常处理 - 云容器引擎 CCE
安全组名称为“集群名称-control-xxx”,此安全组关联CCE控制节点。 图1 查看集群安全组 单击用户节点安全组,确保含有如下规则允许Master节点使用ICMP协议访问节点。 图2 Node节点安全组 若不含有该规则请为Node安全组添加该放通规则,协议端口选择“基本协议/ICMP”,端口
-
CCE集群新增节点时的问题与排查方法? - 云容器引擎 CCE
在子网页面中创建新的子网规划。 返回CCE新增节点页面,选择新的子网即可创建。 扩容后原VPC内子网192.168.66.0/24网段正常使用不受影响。 创建CCE时选择新的子网网段即可,新子网网段上限也为251个私有IP,如仍无法满足业务需求,可继续新增子网。 同VPC下不同子网间内网也是可以互信通信的。
-
工作负载异常:结束中,解决Terminating状态的Pod删不掉的问题 - 云容器引擎 CCE
delete pods aos-apiserver-5f8f5b5585-s9l92 -n aos 解决方法 无论各种方式生成的pod,均可以使用如下命令强制删除: kubectl delete pods <pod> --grace-period=0 --force 因此对于上面的pod,只要执行如下命令即可删除:
-
命名空间因APIService对象访问失败无法删除 - 云容器引擎 CCE
CCE集群部分插件也会自动创建APIService资源,如metrics-server、prometheus插件。 APIService使用介绍请参考:https://kubernetes.io/docs/concepts/extend-kubernetes/api-exten