检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用是在同一台机器中部署。因此对应配置可以固定,不需要将配置提取出来。 应用需要对接哪些外部服务,例如数据库,文件存储等等。 应用部署在虚拟机上时,该类配置需要每次部署时手动配置。容器化部署,可通过环境变量的方式注入到容器中,部署更为方便。 本例需要对接MySQL数据库。您需要获取
问控制(RBAC)的能力基础上,打造的细粒度权限管理功能,支持基于IAM的细粒度权限控制和IAM Token认证,支持集群级别、命名空间级别的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 如果您需要对CCE集群及相关资源进行精细的权限管理,例如限制
后的Pod会占用宿主机的端口,Pod的IP就是宿主机的IP,不会占用容器网络的IP。使用时需要考虑是否与宿主机上的端口冲突,因此一般情况下除非某个特定应用必须使用宿主机上的特定端口,否则不建议使用主机网络。 父主题: 附录
Autoscaling,是Kubernetes中实现POD水平自动伸缩的功能。该策略在kubernetes社区HPA功能的基础上,增加了HPA级别的冷却时间窗和扩缩容阈值等功能。 CustomedHPA策略:华为云自研的弹性伸缩增强能力,能够基于指标(CPU利用率、内存利用率)或周期(
节点恢复为可用后,工作负载即可恢复正常。 排查项二:弹性云服务器是否删除或故障 确认集群是否可用。 登录CCE控制台,确定集群是否可用。 若集群非可用状态,如错误等,请参见当集群状态为“不可用”时,如何排查解决?。 若集群状态为“运行中”,而集群中部分节点状态为“不可用”,请执行2。 登录ECS控制台,查看对应的弹性云服务器状态。
自建IDC与CCE集群共享域名解析方案概述 应用现状 当前,越来越多的软件采用微服务架构,构建一个产品时会大量使用微服务,不同微服务之间访问时涉及到域名访问。 拥有自建IDC的企业,在使用CCE时通常需要在CCE集群与自建IDC之间通信,而且当IDC有内部域名时,需要CCE集群内
平自动伸缩(Horizontal Pod Autoscaling)的功能。CCE在Kubernetes社区HPA功能的基础上,增加了应用级别的冷却时间窗和扩缩容阈值等功能。 创建HPA策略 CustomedHPA CCE容器弹性引擎 CustomedHPA提供弹性伸缩增强能力,主
云服务器无法纳管至节点池时如何修改云服务器配置 云服务器纳管至节点池时,由于以下原因导致无法纳管,您可通过修改配置进行纳管。 无法纳管原因 解决方案 操作指导 规格不一致 将云服务器规格修改成节点池中包含的规格。 修改云服务器的规格 虚拟私有云和子网不一致 将云服务器所在的虚拟私
名称:自定义Ingress名称,例如ingress-demo。 对接Nginx:此选项只有在安装了NGINX Ingress控制器插件后才会显示。如显示了“对接Nginx”,则说明您安装了NGINX Ingress控制器插件,创建ELB Ingress时不能打开该项开关,如果打开则是使用Nginx
步骤四:使用kubectl命令行工具连接集群 在使用Helm模板前,您需要在一台虚拟机上使用kubectl命令行工具连接刚刚创建的集群。 步骤五:安装Helm 在安装kubectl工具的虚拟机上,您需要继续安装Helm工具。 步骤六:部署模板 使用Helm安装命令在集群中创建Wo
如何退订我的云容器引擎? 客户购买包周期资源后,支持客户退订包周期实例。退订资源实例包括资源续费部分和当前正在使用的部分,退订后资源将无法使用。退订资源实例需收取手续费。 注意事项 退订该实例是指退订续费部分和当前正在使用的部分,资源退订后将无法使用。 解决方案组合产品只支持整体退订。
PodSecurityPolicy配置 Pod安全策略(Pod Security Policy) 是集群级别的资源,它能够控制Pod规约中与安全性相关的各个方面。 PodSecurityPolicy对象定义了一组Pod运行时必须遵循的条件及相关字段的默认值,只有Pod满足这些条件才会被系统接受。
节点的规格越大,在节点上部署的容器可能会越多,所以Kubernetes自身需预留更多的资源,详情请参见节点预留资源策略说明。 节点的网络(如虚机网络、容器网络等)均被CCE接管,请勿自行添加删除网卡、修改路由和IP地址。若自行修改可能导致服务不可用。例如,节点上名为的gw_11c
该方案与方案一相比,需要手动配置kubeconfig文件,相对来说较为复杂。 图1 kubectl对接多集群示意 前提条件 您需要在一台Linux虚拟机上安装kubectl命令行工具,kubectl的版本应该与集群版本相匹配,详情请参见安装kubectl。 安装kubectl的虚拟机需要可以访问每个集群的网络环境。
在Kubernetes中,大部分资源对象都是命名空间级别的,如Pods、Services、Replication Controllers和Deployments等,这意味着它们属于某一个命名空间(默认是default)。但仍有一部分资源是集群级别的,例如Node、PersistentVolu
当攻击者拥有主机网络配置能力或运行在一个具备了CAP_NET_RAW能力的容器实例时,就可以获取在目标节点上监听了127.0.0.1的服务socket信息。如果在目标主机上存在127.0.0.1可以访问到且不需要任何认证鉴权的暴露服务,那么该服务信息就能被攻击者获取。问题详情请参见Placeholder issue。
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务后,系统将开始记录CCE资
见Kubernetes RBAC。 集群权限仅针对与集群相关的资源(如集群、节点等)有效,您必须确保同时配置了命名空间权限,才能有操作Kubernetes资源(如工作负载、任务、Service等)的权限。 任何用户创建集群后,CCE会自动为该用户添加该集群的所有命名空间的clus
这里一个比较有意思的地方是CLAIM是default/pvc-example,为什么要显示default呢,这是因为PV是集群级别的资源,并不属于某个命名空间,而PVC是命名空间级别的资源,PV可以与任何命名空间的PVC资源绑定。 图2 PV与PVC StorageClass 上节说的PV和PV
选择不当的访问方式,可能造成服务内外部访问逻辑混乱和资源浪费。 网络管理 工作负载创建时,避免单Pod副本数设置,请根据自身业务合理设置节点调度策略。 可靠性 如设置单Pod副本数,当节点异常或实例异常会导致服务异常。为确保您的Pod能够调度成功,请确保您在设置调度规则后,节点有空余的资源用于容器的调度。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
