检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
理系统,适用于处理大规模数据集的实时查询和分析。ClickHouse容器化部署方式主要有4种,具体请参见表1。ClickHouse Operator是在Kubernetes上部署和管理ClickHouse集群的工具,它具备复制集群、管理用户与配置文件以及处理数据持久化的存储卷等功
请求。 客户端使用连接池 当一个容器应用需要频繁请求另一服务时,推荐使用连接池配置,连接池可以缓存上游服务的链接信息,避免每次访问都经过DNS解析和TCP重新建链的开销。 优化容器内的resolve.conf文件 由于resolve.conf文件中的ndots和search两个参数的作用,容器内resolve
了节点规格。如果负载占用资源过高,可能会导致业务负载互相抢占资源,引发业务异常乃至节点异常。 概览 图2 资源概况和监控概览 资源健康概况:包括节点状态、Pod数量以及异常事件。 节点监控:您可以浏览近一小时的监控概览,其中包括CPU使用率、内存使用率和网络流入/流出速率这些常见的监控指标。
xlsx”格式,文件命名中包含时间戳。 概览 单击工作负载名称,您可以方便地查看资源概况,包括负载状态、Pod数量(异常/总数)以及异常事件。此外,还可以浏览近一小时的监控概览,其中包括CPU使用率、内存使用率和网络流入/流出速率这些常见的监控指标。 图2 资源概况和监控概览 同时,概览页面还提供了Pod使用趋势
体使用请参见本地持久卷和本地临时卷。 高级配置 表3 高级配置参数 参数 参数说明 资源标签 通过为资源添加标签,可以对资源进行自定义标记,实现资源的分类。最多可以添加8条资源标签。 您可以在TMS中创建“预定义标签”,预定义标签对所有支持标签功能的服务资源可见,通过使用预定义标
CCE集群所在VPC与线下IDC已经使用专线或其他方式正确连接,IDC与VPC网段和CCE集群容器网段能够互访。专线的创建方法请参见云专线快速入门。 操作步骤 在CCE集群所在VPC创建 DNS Endpoint。 登录VPCEP控制台。 单击右上角“购买终端节点”。 选择DNS服务和VPC,注意此处VPC需要选择CCE集群所在VPC。
为什么Pod调度不到某个节点上? 请排查节点和docker是否正常,排查方法请参见排查项七:内部组件是否正常。 如果节点和docker正常,而pod调度不到节点上,请确认pod是否做了亲和,排查方法请参见排查项三:检查工作负载的亲和性配置。 如果节点上的资源不足,导致节点调度不上,请扩容或者新增节点。
社区Pod结构体中没有ExtendPathMode,用户使用client-go调用创建pod或deployment的API接口时,创建的pod中没有ExtendPathMode。为了与社区的client-go兼容,CCE提供了如下解决方案。 解决方案 创建pod时,在pod的annotation中需增加kubernetes
情况下,这满足绝大多数使用场景。但在一些少数对CoreDNS资源用量有要求的场景下,不能根据需要灵活配置。 CoreDNS官方文档:https://coredns.io/plugins/ 合理配置CoreDNS规格 登录CCE控制台,进入集群。 在左侧导航栏中选择“插件中心”,单
路由模式采用VPC路由表的方式与底层网络相结合,能够更加便捷地连接容器和主机,在性能上会优于Overlay的隧道封装。 Underlay模式是借助驱动程序将节点的底层网络接口直接暴露给容器使用的一种网络构建技术,享有较高的性能,较为常见的解决方案有IP VLAN等。 图2 不同节点上的Pod通信
地创建、管理和销毁节点,而不会影响整个集群。新节点池中所有节点的参数和类型都彼此相同,您无法在节点池中配置单个节点,任何配置更改都会影响节点池中的所有节点。 通过节点池功能您还可以实现节点的动态扩缩容(仅按需计费的节点池支持): 当集群中出现因资源不足而无法调度的实例(Pod)时,自动触发扩容,为您减少人力成本。
权限提升漏洞预警(CVE-2021-4034) Kubernetes subpath符号链接交换安全漏洞(CVE-2021- 25741) runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465) Docker资源管理错误漏洞公告(CVE-2021-21285) NVIDIA GP
如果某IAM用户拥有一定范围的集群管理权限和命名空间权限,然后在界面下载kubeconfig认证文件。此时CCE根据用户信息的权限判断kubectl有权限访问哪些Kubernetes资源,即哪个用户获取的kubeconfig文件,kubeconfig中就拥有哪个用户的认证信息,任
io/reclaim-policy:删除PVC,PV资源与云硬盘均被删除。 Delete且设置everest.io/reclaim-policy=retain-volume-only:删除PVC,PV资源被删除,云硬盘资源会保留。 Retain:删除PVC,PV资源与底层存储资源均不会被删除,需要手动删除
不填写该参数时:表示CCE不对ELB侧访问控制进行修改。 参数值填写为空值时:表示允许所有IP访问。 参数值填写为ELB的IP地址组ID时:表示开启访问控制,为ELB设置IP地址黑名单或白名单。此时需同时填写kubernetes.io/elb.acl-status和kubernetes.io/elb
Credentials:选择2中添加的集群凭据,可单击“连接测试”,查看是否正常连接集群。 Jenkins URL:Jenkins的访问路径,需要填写6中设置的8080端口地址(此处填写的地址必须同时开放8080和50000端口,即集群内访问的IP地址),例如“http://10.247.222
CCE通过多种数据保护手段和特性,保障数据的安全可靠。 表1 CCE的数据保护手段和特性 数据保护手段 简要说明 详细介绍 服务发现支持证书配置 CCE集群中的应用服务支持使用HTTPS传输协议,保证数据传输的安全性,您可以根据需求创建四层或七层的访问方式来对接负载均衡器。 七层证书配置
16版本中废弃的API 当某API被废弃时,已经创建的资源对象不受影响,但新建或编辑该资源时将出现API版本被拦截的情况。 表2 Kubernetes社区v1.29版本中废弃的API 资源名称 废弃API版本 替代API版本 变更说明 FlowSchema 和 PriorityLevelConfiguration
独享型ELB的Ingress支持自定义重写Header的转发策略,可将在请求中写入或删除配置的Header后再访问后端Service。 ELB Ingress配置重写Header的功能依赖ELB写入Header和删除Header能力,使用该功能前请提交工单申请开通ELB相关能力。 前提条件 已创建一个CCE
oadBalancer服务对外提供访问。 对外提供访问后,无需认证即可访问页面,存在一定的安全风险。若您有较高的安全要求,可进行安全加固。例如,使用NGINX反向代理和基于HTTP基本身份验证的方式来保护Console页面,从而限制访问页面的用户。 以创建NodePort服务为例,YAML示例如下: