检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
等)。 集群管理(IAM)权限:云服务层面的权限,用于管理CCE集群与周边资源(如VPC、ELB、ECS等)的操作。 对于IAM Admin用户组的管理员用户来说,可以为IAM子用户授予集群管理权限(如CCE Administrator、CCE FullAccess等),也可以在
nding状态无法调度。 为同一个负载的配置多个VPA可能会出现行为不一致的现象。 创建VPA策略 使用kubectl连接集群,详情请参见通过kubectl连接集群。 部署一个示例工作负载。如果已有工作负载可忽略本步骤。 kubectl create -f hamster.yaml
targetVersion String 升级目标版本 skippedCheckItemList Array of skippedCheckItemListResponse objects 跳过检查的项目列表 表7 skippedCheckItemListResponse 参数 参数类型
application/json application/json;charset=utf-8 application/x-pem-file multipart/form-data(注:存在FormData参数时使用) 默认取值: 不涉及 X-Auth-Token 是 String 参数解释:
检查集群升级后,新建节点是否能新建Pod。 检查步骤 基于新建节点检查创建了新节点后,通过创建DaemonSet类型工作负载,在每个节点上创建Pod。 登录CCE控制台,单击集群名称进入集群。 在导航栏中选择“工作负载”,单击右上角“创建工作负载”或“YAML创建”。创建DaemonSet的操
application/json application/json;charset=utf-8 application/x-pem-file multipart/form-data(注:存在FormData参数时使用) 默认取值: 不涉及 X-Auth-Token 是 String 参数解释:
、编辑YAML以及删除等操作。 操作步骤 您可以查看工作负载弹性策略的规则、最新状态和事件,参照界面中的报错提示有针对性的解决异常事件。 登录CCE控制台,单击集群名称进入集群。 在左侧导航栏中单击“策略”,在“弹性伸缩策略”页签下,根据弹性伸缩策略类型选择HPA / CronHPA
great security risks. It is recommended that the AK and SK be stored in ciphertext in configuration files or environment variables and decrypted
最后阶段带到生产环境,同时要保证系统不间断提供服务。如果直接将某版本上线发布给全部用户,一旦遇到线上事故(或BUG),对用户的影响极大,解决问题周期较长,甚至有时不得不回滚到前一版本,严重影响了用户体验。 解决方案 长期以来,业务升级逐渐形成了几个发布策略:灰度发布、蓝绿发布、A
集群 基础配置 网络 认证 访问配置 权限管控 容器驱逐配置 端口范围配置 特性开关 调度器性能配置 集群调度器配置 调度算法 部署策略 控制器性能配置 集群控制器并发配置 节点生命周期控制器(node-lifecycle-controller)配置 负载弹性伸缩控制器(hori
网络 网络概述 容器网络 服务(Service) 路由(Ingress) DNS 集群网络配置 容器如何访问VPC内部网络 从容器访问公网 网络管理最佳实践
是否跨节点Pod网络是否正常,如果跨节点Pod网络不通则需要确认以下问题是否存在: 修改了节点内核 安全组和ACL策略未放通 VPC路由表是否正常 节点上的iptables规则是否正常 内核其他参数 非标网段(CCE不推荐使用非标网段,使用非标网段可能引入集群网络不通等风险) 集群外域名: 确定是
开发者社区支持的唯一标准。为便于管理,建议用户尽快将模板切换至Helm v3格式。 当前社区从Helm v2演进到Helm v3,主要有以下变化: 移除tiller Helm v3 使用更加简单和灵活的架构,移除了 tiller,直接通过kubeconfig连接apiserver,简化安全模块,降低了用户的使用壁垒。
从而通过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):私有访问密钥。与访问密钥ID结合使用,对请求进行加密签名,可标识发送方,并防止请求被修改。
Sock文件。该文件影响Euler操作系统下的容器运行时启动。 解决方案 问题场景:节点使用的docker为定制的Euler-docker而非社区的docker 登录相关节点。 执行rpm -qa | grep docker | grep euleros命令,如果结果不为空,说明节点上使用的docker为Euler-docker。
NF_DROP 发出类似于 NF_ACCEPT 的丢弃错误时,nf_hook_slow() 函数会导致双重释放漏洞,本地攻击者利用此漏洞可将普通用户权限提升至 root 权限。 该漏洞是一个本地提权漏洞,需要攻击者先渗透到集群的node节点,利用难度较高。 判断方法 如果集群node节点OS是CentOS
server的证书是否配置了SAN字段。 若无自建webhook server则不涉及。 若未配置,建议您配置使用SAN字段指定证书支持的IP及域名。 v1.15升级至v1.19 CCE v1.19版本的控制面与v1.15版本的Kubelet存在兼容性问题。若控制节点升级成功后,
ernetes事件日志进行采集与转发。 约束与限制 每个集群最多支持创建50条日志规则。 云原生日志采集插件不会采集.gz、.tar、.zip后缀类型的日志文件,且不支持采集日志文件的软链接。 采集容器文件日志时,若节点存储模式为Device Mapper模式,路径配置必须为节点数据盘挂载路径。
性时,在依赖检查中对CCE授权。 请勿删除该委托,如果删除会导致相关开启Secret落盘加密特性的集群不可用。 开启Secret落盘加密 登录CCE控制台。 在“集群管理”页面右上角单击“购买集群”。 在页面最下方,展开“高级配置”,找到“Secret落盘加密”,开启该特性。 开
通过负载均衡才能实现。 不同环境创建对应命名空间。 同个命名空间下,通过服务名称(Service name)可直接访问。跨命名空间的可以通过服务名称、命名空间名称访问。 例如下图,开发环境/联调环境/测试环境分别创建了命名空间。 图1 不同环境创建对应命名空间 按照应用划分命名空间
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
