检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
NetworkPolicy NetworkPolicy是Kubernetes设计用来限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。 默认情况下,如果命名空间中不存在任何策略,则所有进出该命名空间中的Pod的流量都被允许。
及时跟踪处理官网发布的漏洞 节点在新的镜像发布前请参考漏洞公告,完成节点漏洞修复。 节点不暴露到公网 如非必需,节点不建议绑定EIP,以减少攻击面。 在必须使用EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。 在使用cce集群过程中,由于业务场景需要,在节点上配置了kubeconfig
如何查看虚拟私有云VPC的网段? 在“虚拟私有云”页面,可查看虚拟私有云的“名称/ID”和“VPC网段”。用户可以调整已创建的VPC或通过重新创建VPC调整网段。 图1 查看VPC网段 父主题: 网络规划
如何查看Pod是否使用CPU绑核? 以4U8G节点为例,并提前在集群中部署一个CPU request为1,limit为2的工作负载。 登录到节点池中的一个节点,查看/var/lib/kubelet/cpu_manager_state输出内容。 cat /var/lib/kubel
cluster.local:<端口号>”,例如“nginx.default.svc.cluster.local:80”。 访问通道、容器端口与访问端口映射如图1所示。 图1 集群内访问 创建ClusterIP类型Service 登录CCE控制台,单击集群名称进入集群。 在左侧导航栏中选择“服务”,在右上角单击“创建服务”。
Pod访问的对象 网络策略(NetworkPolicy)是Kubernetes设计用来限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。 默认情况下,如果命名空间中不存在任何策略,则所有
本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录: 在新版事件列表查看审计事件 在旧版事件列表查看审计事件 使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看,或者到组织追踪器配置的OBS桶中查看,也可以到组织追踪器配置的CTS/system日志流下面去查看。
使用CCE设置工作负载访问方式时,端口如何填写? CCE支持工作负载的内部互访和被互联网访问两种方式。 内部访问:包括集群内访问(通过集群虚拟IP)和节点访问(通过节点私有IP)两种方式。 表1 内部访问类型说明 内部访问类型 说明 端口如何填写 集群内访问(通过集群虚拟IP)
为什么kubectl top命令查看节点内存使用超过100%? 问题现象 从界面上看节点内存使用率并不是很高,但使用kubelet top node查看节点内存使用率已超过100%。 NAME CPU(cores) CPU% MEMORY(bytes)
Kubernetes 集群备份、迁移工具,集成了Restic工具对PV数据的备份能力,可以通过Velero工具将原集群中的K8s资源对象(如Deployment、Job、Service、ConfigMap等)和Pod挂载的持久卷数据保存备份上传至对象存储。在发生灾难或需要迁移时,
GRPC检查可以为GRPC应用程序配置启动、活动和就绪探针,而无需暴露任何HTTP端点,也不需要可执行文件。Kubernetes可以通过GRPC 连接到工作负载并查询其状态。 GRPC检查仅在CCE v1.25及以上版本集群中支持。 使用GRPC检查时,您的应用需支持GRPC健康检查协议。 与HTTP和
误删除该资源需要使用正确的配置重新创建default-network资源。 启动iptables防火墙 CCE默认不开启iptables防火墙,开启后可能造成网络不通 说明: 不建议开启iptables防火墙。如必须启动iptables防火墙,请在测试环境中确认/etc/sysconfig/iptables和
//宿主机外部IP,如EIP gitlab_rails['gitlab_ssh_host'] = '**.**.**.**' //宿主机外部IP,如EIP gitlab_rails['gitlab_shell_ssh_port'] = 222 //此端口是启动容器时的端口映射,222->22
唤醒集群 x √ √ 休眠集群 x √ √ 查询集群列表 √ √ √ 查询集群详情 √ √ √ 添加节点 x √ √ 删除节点/批量删除节点 x √ √ 更新节点,如更新节点名称 x √ √ 查询节点详情 √ √ √ 查询节点列表 √ √ √ 查询任务列表(集群层面的job) √ √ √
时,DNS查询时只会返回Service的ClusterIP地址,具体访问到哪个Pod是由集群转发规则(IPVS或iptables)决定的。而Headless Service并不会分配单独的ClusterIP,在进行DNS查询时会返回所有Pod的DNS记录,这样就可查询到每个Pod
排查项五:检查容器所在节点安全组是否放通 排查项一:容器+容器端口 在CCE控制台界面或者使用kubectl命令查找pod的IP,然后登录到集群内的节点或容器中,使用curl命令等方法手动调用接口,查看结果是否符合预期。 如果容器IP+端口不能访问,建议登录到业务容器内使用“127.0.0.1+端口”进行排查。
定位失败原因 您可以参考以下步骤,通过集群日志查看集群创建失败的报错信息,然后根据相应的解决方法解决问题: 登录CCE控制台,单击集群列表上方的“操作记录”查看具体的报错信息。 单击“操作记录”窗口中失败状态的报错信息。 图1 查看操作详情 根据上一步获取的失败报错信息自行解决后,尝试重新创建集群。
容器在VPC内的节点上互通,是通过CCE添加的自定义路由规则实现的。 CCE中的容器访问其他服务时,需要关注对端(目的端)是否开启了容器网段入方向的安全组规则或防火墙。具体请参见安全组配置示例。 如果使用VPN或“对等连接”等方式打通了小网通信,需要在中间路上和目的地,都需要在对等连接添加容器网段的路由。
status kubelet 执行成功,可查看到各组件的状态为Active,如下图: 若服务的组件状态不是Active,执行如下命令: 重启命令根据出错组件指定,如canal组件出错,则命令为:systemctl restart canal 重启后再查看状态:systemctl status
”,单击“创建密钥对”。 输入密钥对名称,勾选“我同意将密钥对私钥托管”和“我已经阅读并同意《密钥对管理服务免责声明》”,单击“确定”。 查看并保存私钥。为保证安全,私钥只能下载一次,请妥善保管,否则将无法登录节点。 创建集群和节点。 登录CCE控制台。在“集群管理”页面单击“购买集群”,选择需要创建的集群类型。