检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
工离职或已授权的凭证疑似泄露等场景发生时,需要手动吊销集群访问凭证,以确保集群安全。 吊销集群访问凭证的存在两类场景: 子用户(非管理员):支持吊销自身的集群访问凭证。 主账号或管理员用户(admin用户组用户):支持吊销其他用户或委托账号的集群访问凭证。 吊销集群访问凭证后,该
创建用户并加入用户组。 在IAM控制台创建用户,并将其加入1中创建的用户组。 通过IAM用户使用CCE时,该IAM用户需要同时支持“编程访问”和“管理控制台访问”的访问方式。 用户登录并验证权限。 新创建的用户登录控制台,切换至授权区域,验证权限: 在“服务列表”中选择云容器引擎,进入CCE主界面尝试
image:预置镜像到SWR步骤中上传至SWR的镜像地址。 local:使用本地的jar包路径。本例中使用本地文件存放jar包,因此使用local类型。根据实际情况,该参数可采用多种类型(file/http/local等),详情请参见官方文档。 访问对象存储服务OBS 使用spark-submit下发h
进行加固,详情请参见集群安全组规则配置。 检查Service是否可以正常访问容器内业务,检查集群内部可能存在的问题。 您可通过在集群中新建Pod并通过ClusterIP访问Service的方式进行检查,如您的服务为NodePort类型,也可通过EIP:Port使用互联网访问服务来验证。
节点DNS检查异常处理 检查项内容 当前检查项包括以下内容: 检查当前节点DNS配置是否能正常解析OBS地址 检查当前节点是否能访问存储升级组件包的OBS地址 解决方案 节点升级过程中,需要从OBS拉取升级组件包。此项检查失败,请联系技术人员支持。 父主题: 升级前检查异常问题排查
CCE提供nonMasqueradeCIDRs参数设置集群私有网段。在Pod中发起访问请求时,如果Pod访问的目的地址在集群私有网段范围内,则节点不会将Pod IP进行网络地址转换,可以借由VPC路由表直接将报文送达至目的地址,即直接使用Pod IP与集群私有网络地址进行通信。 图1 Pod IP地址转换示意图 前提条件
ice。 目标服务访问端口:可选择目标Service的访问端口。 执行动作 动作:选择“重定向至URL”,当访问请求满足转发策略时,会将请求重定向至指定的URL,并返回指定的状态码。 URL:以 "http://" 或 "https://" 开头的合法的URL。 说明: HTTP
获取集群访问的地址 功能介绍 该API用于通过集群ID获取集群访问的地址,包括PrivateIP(HA集群返回VIP)与PublicIP 集群管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径。 调用方法 请参见如何调用API。
容器隧道网络在节点网络基础上通过隧道封装网络数据包。当从容器访问同一VPC下的其他资源时,节点访问权限的有效性决定了容器访问的通畅性。因此,如果出现访问不通的情况,需要检查与确认被访问服务的安全组配置是否允许容器所在节点的访问。 VPC网络 在VPC网络中,使用VPC路由功能来转发容器的流量。容器网段与节点所
从Pod访问公网 从Pod访问公网的实现方式 从Pod中访问公网地址的实现方式会因集群网络模式的不同而不同,具体请参见表1。 表1 从Pod访问公网的实现方式 实现方式 容器隧道网络 VPC网络 云原生2.0网络 给容器所在节点绑定公网IP 支持 支持 不支持 给Pod绑定弹性公网IP
表6 在Pod中访问不通具体排查思路 排查路径 问题 解决方案 被访问的服务安全组规则 在该部分可能存在以下问题: 安全组规则的入方向规则未允许节点网段或容器网段访问。 入方向规则允许节点网段和容器网段访问,协议未配置正确。 须知: ping命令使用ICMP协议进行网络连通性测试。
文件系统类型,请根据使用的存储类型填写: ext4: EVS云硬盘存储,详情可参见使用云硬盘存储卷。 nfs:SFS弹性文件存储,详情可参见使用文件存储卷。 obs:OBS对象存储,详情可参见使用对象存储卷。 efs:SFS Turbo极速文件存储,详情可参见使用极速文件存储卷。 options
变更集群规格 功能介绍 该API用于变更一个指定集群的规格。 集群管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径。 使用限制请参考变更集群规格。 调用方法 请参见如何调用API。 URI POST /api/v3/proj
存储驱动插件,北向遵循标准容器平台存储驱动接口。实现Kubernetes Flex Volume标准接口,提供容器使用EVS块存储、SFS文件存储、OBS 对象存储、SFS Turbo 极速文件存储的能力。通过安装升级云存储插件可以实现云存储功能的快速安装和更新升级。 该插件为系统资源插件,Kubernetes
18s 访问Service。 默认情况下,NodePort类型Service可以通过任意节点IP:节点端口访问。 在集群同VPC下或集群容器内都可以访问,如果给节点绑定公网IP,也可以使用公网IP访问。如下所示,在集群上创建一个容器,从容器中使用节点IP:节点端口访问。 # kubectl
使用第三方镜像 操作场景 CCE支持拉取第三方镜像仓库的镜像来创建工作负载。 通常第三方镜像仓库必须经过认证(账号密码)才能访问,而CCE中容器拉取镜像是使用密钥认证方式,这就要求在拉取镜像前先创建镜像仓库的密钥。 前提条件 使用第三方镜像时,请确保工作负载运行的节点可访问公网。
如输出与Secret中的内容一致,则说明该密钥已被设置为工作负载的环境变量。 使用密钥配置工作负载的数据卷 密钥(Secret)挂载将密钥中的数据挂载到指定的容器路径,密钥内容由用户决定。用户需要提前创建密钥,操作步骤请参见创建密钥。 使用控制台方式 登录CCE控制台,单击集群名称进入集群。 在左侧导航栏选
Server地址(内网地址或公网地址),并下载证书(ca.crt、client.crt和client.key文件)。 使用集群证书调用Kubernetes原生API。 例如使用curl命令调用接口查看Pod信息,如下所示: curl --cacert ./ca.crt --cert ./client.crt --key
认证与授权 ServiceAccount RBAC
使用健康中心 云容器引擎CCE服务提供一键集群诊断能力,包括集群诊断、节点诊断、工作负载诊断、核心插件诊断和外部依赖诊断,可以辅助您定位集群中出现的问题。本文介绍如何在集群中使用集群诊断功能。 前提条件 已获取资源权限 集群版本高于v1.17。 集群处于“运行中”状态。 功能入口
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
