检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
eus格式,可以通过调用Prometheus接口查看监控数据。 本文以实际示例介绍如何通过Prometheus查看CCE Turbo集群容器网络扩展指标,具体步骤如下: 安装插件 监控容器网络扩展指标 (可选)通过Grafana查看图表 前提条件 已创建一个CCE Turbo集群。
采集,自动发现默认忽略kube-system和monitoring命名空间下的Service和Pod)。 Prometheus插件是基于社区原生Prometheus构建的。 配置由monitoring命名空间下名为prometheus的ConfigMap统一配置。 不支持常见的S
集群系统密钥说明 CCE默认会在每个命名空间下创建如下密钥。 default-secret paas.elb default-token-xxxxx(xxxxx为随机数) 下面将详细介绍这个几个密钥的用途。 default-secret default-secret的类型为kubernetes
服务基础配置 服务名称 服务名称 参数名 取值范围 默认值 是否允许修改 作用范围 name 0-253字符 无 创建时可修改 CCE Standard/CCE Turbo 命令空间 服务所在的命名空间 参数名 取值范围 默认值 是否允许修改 作用范围 namespace 0-63字符 default
数据,用于查看集群控制面重要组件的日志信息。 控制面审计日志:显示默认日志组(k8s-log-{集群ID})下默认日志流audit-{集群ID})中的所有日志数据,用于查看集群控制面审计日志信息。 全局日志查询:支持查看所有日志组日志流下的日志信息。可通过选择日志流查看所选日志流
重新部署monitoring命名空间下的custom-metrics-apiserver工作负载。 图3 重新部署custom-metrics-apiserver 重启后,可以通过以下指令查看对应的Pod的指标是否正常(注意替换命名空间和业务Pod名)。 # 查询指标 $ kubectl
镜像。 目标仓库:选择1中创建的目标。 目标 名称空间:填写SWR上的组织名称。 仓库扁平化:用以在复制镜像时减少仓库的层级结构,建议选择“替换所有级”。假设Harbor仓库的层级结构为“library/nginx”,目标名称空间为dev-container,“替换所有级”对应的结果为:library/nginx
列出挂载的每个磁盘中的可用磁盘空间量 fdisk -l 列出所有的分区 节点PID使用量是否正常 是 节点PID出现压力,可能导致节点不稳定,需释放无用进程或者修改PID上限。可以通过如下命令查看PID信息。 查看最大PID数:sysctl kernel.pid_max 查看当前的最大PID:ps
为需要标签的命名空间加上标签。 在集群控制台左侧导航栏单击“命名空间”。 找到需要验签的命名空间,单击操作列的“更多>标签管理”。 新增一个标签,键值填写如下: 键:policy.sigstore.dev/include 值:true 单击“确定”。 测试镜像验签功能是否生效。 在集群控制台左侧导航栏单击“工作负载”。
iner_cpu_usage_core_per_second。 重新部署monitoring命名空间下的custom-metrics-apiserver工作负载。 执行命令查看指标是否添加成功。 kubectl get --raw "/apis/custom.metrics.k8s
网络插件的能力。 默认情况下,如果命名空间中不存在任何策略,则所有进出该命名空间中的Pod的流量都被允许。 NetworkPolicy的规则可以选择如下3种: namespaceSelector:根据命名空间的标签选择,具有该标签的命名空间都可以访问。 podSelector:根
如希望数据盘取值范围调整至20-32768,请勿缺省此参数。 如希望使用共享磁盘空间(取消runtime和kubernetes分区),请勿缺省此参数,共享磁盘空间请参考数据盘空间分配说明。 如希望系统组件存储在系统盘中,请勿缺省此参数。 表12 Storage 参数 是否必选 参数类型 描述 storageSelectors
获取集群中所有命名空间的密钥。 2. 漏洞CVE-2021-25746:用户有权限可以在创建/更新ingress时,利用‘.metadata.annotations’字段,获取到ingress-controller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。 表1 漏洞信息
则拥有了所有集群和命名空间的只读权限。 开发组长:ROBERT 用户“ROBERT”作为开发组的组长,虽然在上一步中已经为其设置了所有集群和命名空间的只读权限,但显然还不够,还需要为其设置所有命名空间的管理权限。 因此需要再单独为其赋予所有集群下全部命名空间的管理员权限。 图6
sts文件的临时存储占用量管理,因此在特定的攻击场景下,一个挂载了/etc/hosts的Pod可以通过对该文件的大量数据写入占满节点的存储空间,从而造成节点的拒绝访问(Denial of Service)。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 资源管理错误
签中,您可以查看集群中事件的总数、趋势和排序信息;在“事件”中,可以查看事件的详细信息,包括事件名称、类型、内容,以及触发该事件的资源的相关信息等。 概览 “概览”页面默认展示集群中所有命名空间的事件统计信息,您也可以在右上角的下拉框中切换命名空间,以查看指定命名空间下的事件数据。
Turbo集群支持) 如您期望不同的命名空间或工作负载使用不同的子网网段或安全组,可创建一条策略,将子网/安全组信息和命名空间或工作负载进行绑定,详情请参见使用容器网络配置为命名空间/工作负载绑定子网及安全组。 容器绑定子网:Pod IP会被约束在特定的网段中,不同命名空间或工作负载之间可实现网络隔离。
enable_custom_metrics 否 Boolean 是否开启自定义指标采集,默认值false highAvailability 否 Boolean 是否高可用,默认false scrapeInterval 是 String 默认指标采集周期,默认值15s shards 否 Integer 采集分片数,仅在agent模式下生效,默认值1
CoreDNS内存使用率超过百分之八十 描述(可选) 添加告警规则描述。 检查CoreDNS容器内存使用率是否大于80%。 告警规则(PromQL) 输入普罗查询语句。关于如何编写普罗查询语句,请参见查询示例。 本例中设置CoreDNS当内存使用率的最大值大于80%产生告警,示例如下: (sum
150.0.1 } 单击“确定”完成配置更新。 在左侧导航栏中选择“配置与密钥”,在“kube-system”命名空间下,查看名为coredns的配置项数据,确认是否更新成功。 合理配置Host 如果您需要为特定域名指定hosts,可以使用Hosts插件来配置。示例配置如下: 登录CCE控制台,单击集群名称进入集群。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
