检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Kubernetes安全漏洞公告(CVE-2020-8554) 漏洞详情 CVE-2020-8554是Kubernetes社区发现的关于集群内网络流量劫持的安全问题。具有创建和更新Service和Pod对象权限的潜在攻击者,能够劫持集群内来自其他Pod或者节点的流量。潜在攻击者通过设置Service对象的spec
容器组(Pod)是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器(container)、存储资源(volume)、一个独立的网络IP以及管理控制容器运行方式的策略选项。 Pod使用主要分为两种方式: Pod中运行一个容器。这是Kubernetes最常见的用法,您可以
MountPointProblem 检查节点上的挂载点是否异常 异常定义:该挂载点不可访问(cd) 典型场景:节点挂载了nfs(网络文件系统,常见有obsfs、s3fs等),当由于网络或对端nfs服务器异常等原因导致连接异常时,所有访问该挂载点的进程均卡死。例如集群升级场景kubelet重启时扫描所有挂载点,当扫描到此异常挂载点会卡死,导致升级失败。
其中n随集群中服务和后端Pod的数量同步增长 O(1),多数情况下IPVS的连接处理效率和集群规模无关 负载均衡算法 随机平等的选择算法 包含多种不同的负载均衡算法,例如轮询、最短期望延迟、最少连接以及各种哈希方法等 ClusterIP连通性 集群内部ClusterIP地址无法ping通
kubectl:您需要先下载kubectl以及kubeconfig配置文件,完成配置后,即可以使用kubectl访问Kubernetes集群。详情请参见通过kubectl连接集群。 公网地址:为Kubernetes集群的API Server绑定弹性公网IP。配置完成后,集群API Server将具有公网访问能力。
内存申请量:Pod内存Request值。 内存限制量:Pod内存Limit值,使用量到达该值时会导致容器OOM。 网络相关指标 网络总流出速率:Pod的所有容器每秒钟发送的总字节数。 网络总流入速率:Pod的所有容器每秒钟接收的总字节数。 容器相关指标 容器CPU使用率:Pod的每个容器在不同的时间段的CPU使用量占它们的CPU
处于非运行状态(例如冻结、不可用状态)中的集群,由于无法获取集群中的PVC、Service、Ingress等资源,因此删除集群之后可能会残留网络及存储等资源,您需要前往资源所属服务手动删除。 弹性负载均衡资源 前往弹性负载均衡控制台。 通过集群使用的VPC ID进行过滤,得到该虚拟私有云下所有的弹性负载均衡实例。
PU/NPU卡故障时能够及时将Pod驱逐。 前提条件 已创建CCE集群,且配置了kubectl命令行工具。详细操作可参考通过kubectl连接集群。 集群上安装了CCE AI套件(GPU/NPU),可参考CCE AI套件(NVIDIA GPU)和 CCE AI套件(Ascend NPU)。其中NPU驱动版本应大于23
命令自动执行后再操作,此命令出现需要一段时间 5-10秒。 图3 CloudShell页面 使用kubectl命令登录容器 使用kubectl连接集群,详情请参见通过kubectl连接集群。 执行以下命令,查看已创建的Pod。 kubectl get pod 示例输出如下: NAME
配置建议: 无特殊需求建议保持默认配置,容忍时间配置过小可能导致容器在网络抖动等一些短时故障场景下频繁迁移影响业务,容忍时间配置过大可能导致容器在节点故障时长时间无法迁移导致业务受损 配容忍时间配置过小可能导致容器在网络抖动等一些短时故障场景下频繁迁移影响业务,容忍时间配置过大可能导致
将新连接转发到原来的RS(IPVS的后端)上。 当net.ipv4.vs.conn_reuse_mode=1时,IPVS则会对新连接进行重新负载。 IPVS连接复用参数带来的问题 问题1 当net.ipv4.vs.conn_reuse_mode=0时,对于端口复用的连接,IPV
Server的方式有哪些? 当前CCE提供两种访问集群API Server的方式: 集群API方式:(推荐)集群API需要使用证书认证访问。直接连接集群API Server,适合大规模调用。 API网关方式:API网关采用token方式认证,需要使用账号信息获取token。适合小规模调
上使用Kubectl命令。它支持通过标准的Web浏览器和HTTP协议提供远程CLI,提供灵活的接口便于集成到独立系统中,可直接作为一个服务连接,通过cmdb获取信息并登录服务器。 web-terminal可以在Node.js支持的所有操作系统上运行,而不依赖于本机模块,快速且易于安装,支持多会话。
插件高可用部署 应用场景 CCE提供了多种插件扩展集群云原生能力,涵盖了容器调度与弹性、云原生可观测、容器网络、容器存储、容器安全等方向,插件通过Helm模板方式部署,将插件中的工作负载部署至集群的工作节点。 随着插件使用的普及化,业务对插件的稳定性、可靠性保证已成为基本诉求。目
创建节点池 功能介绍 该API用于在指定集群下创建节点池。仅支持集群在处于可用、扩容、缩容状态时调用。 1.21版本及以上的turbo网络类型的集群创建节点池时支持绑定安全组,每个节点池最多绑定五个安全组。 更新节点池的安全组后,只针对新创的pod生效,建议驱逐节点上原有的pod。
相关或无关的节点上,可以有效地提高集群的利用率。 例如,通信频繁的前端应用Pod和后端应用Pod可优先调度到同一个节点或同一个可用区,减少网络延迟。工作负载亲和/反亲和的示意如下: 首先,拓扑域(根据topologyKey划分)通过节点的标签和标签值划分节点范围,将节点分为不同的拓扑域。
理配置。 网络配置: Pod入/出口带宽限速:支持为Pod设置入/出口带宽限速,详情请参见为Pod配置QoS。 是否开启指定容器网络配置:仅支持该功能的集群显示该选项,开启指定容器网络配置,工作负载使用指定的容器网络配置中的容器子网跟安全组来创建,详情请参见使用容器网络配置为命名空间/工作负载绑定子网及安全组。
subnet-cce 选择一个子网,集群中的节点将会使用此子网中的IP。 容器网络模型 VPC网络 支持选择“VPC网络”和“容器隧道网络”,默认可选择“VPC网络”。 不同容器网络模型间的差异请参见容器网络模型对比。 容器网段 10.0.0.0/16 设置容器使用的网段,该网段大小决定了集群中容器的数量上限。
使用Jenkins和Gitlab实现多集群隔离的DevOps 网络相关 CCE Turbo配置容器网卡动态预热 保留Pod IP非伪装网段最佳实践 使用VPC和云专线实现容器与IDC之间的网络通信 集群通过企业路由器连接对端VPC 不同场景下容器内获取客户端源IP 容器网络带宽限制的配置建议 通过配置容器内核参数增大监听队列长度
占负载的所有Pod的容器的内存Limit总量比例。 网络相关指标 网络总流出速率:负载的所有Pod的容器在不同的时间段的每秒钟发送的总字节数。 网络总流入速率:负载的所有Pod的容器在不同的时间段的每秒钟接收的总字节数。 网络发送丢包率:负载的所有Pod的容器在不同的时间段的发送
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
