检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
存储容量,单位Gi,必须和已有pv的storage大小保持一致。 volumeName PV的名称。 极速文件存储所在VPC,子网必须与工作负载规划部署的ECS虚拟机的VPC保持一致,安全组开放入方向端口(111、445、2049、2051、20048)。 创建PV。 kubectl create -f
Security Admission时,audit或warn模式的隔离都将在工作负载级别生效,而enforce模式并不会应用到工作负载,仅在Pod上生效。 使用命名空间标签进行Pod Security Admission配置 您可以在不同的隔离模式中应用不同的策略,由于Pod安全性准入能
schedulerName:设置为volcano,表示使用Volcano调度该工作负载。 scheduling.k8s.io/group-name:指定上一步中创建的PodGroup,示例为pg-test1。 创建Volcano Job使用Gang调度能力 创建Volcano Job时,仅需要
议,以降低这种风险。 容器镜像最小化 为了加强容器镜像的安全性,首先应从镜像中移除所有不必要的二进制文件。如果使用的是Docker Hub上的未知镜像,推荐使用如Dive这样的工具来审查镜像内容。Dive能够展示镜像每一层的详细内容,帮助您识别潜在的安全风险。更多信息,请参见Dive。
23及以上)。 在概览页面,查看控制节点信息,如集群未开启过载控制,此处将会出现相应提示。如需开启过载控制,您可单击“立即开启”。 图2 已有集群开启过载控制 集群过载监控 方式一:CCE界面 登录CCE控制台,进入一个已有的集群(集群版本为v1.23及以上)。 在概览页面,查看控制节点信息,将会显示“过载等级”指标。
时支持,且需要everest插件版本>=1.2.29。 请勿在节点上手动删除对应的存储池或卸载数据盘,否则会导致数据丢失等异常情况。 请确保节点上Pod不要挂载/var/lib/kubelet/pods/目录,否则可能会导致使用了临时存储卷的Pod无法正常删除。 通过控制台使用本地临时卷
HCE打造云原生、高性能、高安全、易迁移等能力,加速用户业务上云,提升用户的应用创新空间,可替代CentOS、EulerOS等公共镜像。 适用于希望使用免费镜像,并延续开源社区镜像使用习惯的个人或企业。 Ubuntu操作系统 Linux的其他发行版操作系统,不同操作系统在使用习惯和应用兼容性上存在一定差异。 适用于可
已安装Volcano插件,详情请参见Volcano调度器。 Binpack功能介绍 Binpack调度算法的目标是尽量把已有的节点填满(即尽量不往空白节点分配)。具体实现上,Binpack调度算法为满足调度条件的节点打分,节点的资源利用率越高得分越高。Binpack算法能够尽可能填满节点,将应用负载靠拢在部分节
回收或手动清理。在“已停止”状态下,驱动程序Pod不会使用任何计算或内存资源。 图1 提交机制的工作原理 在CCE上运行SparkPi例子 在执行Spark的机器上安装kubectl,详情请参见通过kubectl连接集群。 kubectl安装成功后,执行如下命令授予集群权限。 #
17及之后版本的集群中将彻底去除对Flexvolume插件(storage-driver)的支持,请您将Flexvolume插件的使用切换到CSI插件上。 CSI插件(everest)兼容接管Flexvolume插件(storage-driver)后,原有功能保持不变,但请注意不要新建Fle
安全组名称为“集群名称-node-xxx”,此安全组关联CCE用户节点。 安全组名称为“集群名称-control-xxx”,此安全组关联CCE控制节点。 图1 查看集群安全组 单击用户节点安全组,确保含有如下规则允许Master节点使用ICMP协议访问节点。 图2 Node节点安全组 若不含有该规则请
cce-secret.yaml 创建完成后可以查询到密钥。 kubectl get secret -n default 相关操作 密钥创建完成后,您还可以执行表2中的操作。 密钥列表中包含系统密钥资源,系统密钥资源不可更新,也不能删除,只能查看。 表2 其他操作 操作 说明 编辑YAML
targetPort 无 无 允许 CCE Standard/CCE Turbo 配置建议: 建议配置业务容器中实际启用的端口 节点端口 节点上监听的nodeport端口 参数名 取值范围 默认值 是否允许修改 作用范围 nodePort 20106 - 32767 30000-32767之间
“容器隧道网络”的集群,天然支持各服务间内网通信,不需要另外配置。 “VPC网络”模型的集群需要注意的事项: 对端看到的来源IP为容器IP。 容器在VPC内的节点上互通,是通过CCE添加的自定义路由规则实现的。 CCE中的容器访问其他服务时,需要关注对端(目的端)是否开启了容器网段入方向的安全组规则或防火墙。具体请参见安全组配置示例。
插件实现。容器网络插件负责为Pod配置网络并管理容器IP地址。 当前CCE支持如下容器网络模型。 容器隧道网络:容器隧道网络在节点网络基础上通过隧道封装构建的独立于节点网络平面的容器网络平面,CCE集群容器隧道网络使用的封装协议为VXLAN,后端虚拟交换机采用的是openvswi
开启/关闭节点缩容保护”按钮操作。 节点上存在指定不缩容标记的Pod时,该节点将不会被缩容。 节点上的部分容器存在可靠性等配置策略时,将有可能不会自动缩容。 节点上存在kube-system命名空间下的非DaemonSet类容器时,该节点将不会被缩容。 (可选)节点上如果存在已运行的容器由第三方Pod
参数名 取值范围 默认值 是否允许修改 作用范围 max-pods 大于等于0 110 允许 CCE Standard/CCE Turbo 节点上可以正常运行的容器 Pod 的数目上限(包含系统默认实例)。此配置可防止节点因管理过多容器Pod而负荷过高。 配置建议: 根据节点配置变化 Pod中最大进程数
EulerOS 2.0、Ubuntu 22.04、EulerOS 2.9、EulerOS 2.10操作系统,采用如下命令查看内核版本: uname -a 若查询结果在3.15-6.8之间,则受该漏洞影响。 漏洞消减方案 建议容器工作负载设置seccomp,示例如下: 针对Huawei
支持全量检查集群整体运行状况(开通监控中心后),发现集群故障与潜在风险 针对诊断结果,智能给出健康评分 支持定时巡检,并可视化巡检结果 支持查看巡检历史,方便用户分析故障原因 针对故障和潜在风险,给出风险等级并提供修复建议 使用场景 运维对集群做变更前的集群状况检测,可随时主动触发健康诊断
为Pod配置QoS 操作场景 部署在同一节点上的不同业务容器之间存在带宽抢占,容易造成业务抖动。您可以通过对Pod配置带宽限制来解决这个问题。 功能规格 Pod带宽限制功能规格如下: 功能规格 容器隧道网络模型 VPC网络模型 云原生网络2.0模型 云原生网络2.0模型+DataPlane
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
