检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
生命周期管理 云容器实例基于Kubernetes,提供了容器生命周期钩子,在容器的生命周期的特定阶段执行调用,比如容器在停止前希望执行某项操作,就可以注册相应的钩子函数。目前提供的生命周期钩子函数如下所示。 启动后处理(PostStart):负载启动后触发。 停止前处理(PreStop):负载停止前触发。
设置容器生命周期 云容器实例基于Kubernetes,提供了容器生命周期钩子,在容器的生命周期的特定阶段执行调用,比如容器在停止前希望执行某项操作,就可以注册相应的钩子函数。目前提供的生命周期钩子函数如下所示。 启动后处理(PostStart):容器启动后触发。 停止前处理(PreStop):容器停止前触发。
为防止访问密钥泄露,建议您将其保存到安全的位置。 获取云容器实例Endpoint Endpoint在地区和终端节点页面获取,如下表所示。 表3 地区和终端节点 区域名称 区域 终端节点(Endpoint) 华北-北京四 cn-north-4 cci.cn-north-4.myhuaweicloud.com
跨CCE和CCI实例,在对接LoadBalancer类型的Service或Ingress时: 禁止指定健康检查端口,在CCE集群下,由于CCI的容器与CCE的容器在ELB注册的后端使用端口不一致,指定健康检查端口会导致部分后端健康检查异常。 跨集群使用Service对接同一个ELB的监听器时,需确认健康检查方式,避免服务访问异常。
载,减少Pod启动时间。本文将介绍镜像快照的基本功能,创建和使用方式等。 约束与限制 单个镜像快照最多包含20个镜像。 支持私有镜像仓库,但需要提供私有镜像仓库的访问凭证,包括地址、用户名和密码。 如果镜像需要通过公网拉取,则需要事先配置NAT网关服务。 如果镜像快照中只有部分镜
com/kubernetes/kubernetes/issues/91507 如何判断是否涉及漏洞 Kubernetes本身不受该漏洞影响,但Kubernetes所使用的CNI插件(请参阅containernetworking / plugins#484)会受影响,以下kubelet版本都包含了受影响的CNI插件服务:
vulnerable?”。 漏洞分析结果 综合以上分析,CCI服务不受本次漏洞影响,因为: CCI当前集群基于Kubernetes 1.15版本,但kube-proxy组件使用自研代码,不涉及net.ipv4.conf.all.route_localnet=1参数。 CCI的集群形态与普
Container里产生的数据可以被主容器使用到。 Init Container可以在多种K8S资源里被使用到如Deployment、DaemonSet、Job等,但归根结底都是在Pod启动时,在主容器启动前执行,做初始化工作。 使用场景 部署服务时需要做一些准备工作,在运行服务的pod中使用一个init
Container里产生的数据可以被主容器使用到。 Init Container可以在多种K8S资源里被使用到如Deployment、Job等,但归根结底都是在Pod启动时,在主容器启动前执行,做初始化工作。 详细信息请参见Init容器。 标签 Label(标签)是一组附加在对象上的键值对,用来传递用户定义的属性。
适用场景 角色授权 用户-角色-权限 系统角色 系统策略 自定义策略 为主体授予角色或策略 每个用户可以根据被分配的角色相对快速地被授予相关权限,但灵活性较差,难以满足细粒度精确权限控制需求,更适用于对维护角色和授权关系工作量较小的中小企业用户。 策略授权 用户-策略 系统策略 自定义策略
添加了多个权限,此时权限也取最高权限,即为同类权限取并集。当用户拥有CCI CommonOperations权限时,本可以创建无状态负载,但如该用户以及用户所在用户组未在目标Namespace下被赋予对应RBAC权限,则创建无状态负载会鉴权失败,即为不同类权限取交集。 示例流程
并发策略 Forbid:在前一个任务未完成时,不创建新任务。 Allow:定时任务不断新建Job。 Replace:已到新任务创建时间点,但前一个任务还未完成,新的任务会取代前一个任务。 定时规则:设置任务在何时执行。 任务记录:设置保留执行成功任务的个数和保留执行失败任务的个数。
的StorageClass。 负载Hostpath配置方式 操作场景 在使用CCE或者其他K8s集群时,用户使用HostPath类型存储。但CCI是共享集群,不开放HostPath能力,因此使用HostPath的Pod通过bursting弹到CCI时,会被拦截。如无法改变Pod spec
auth/exec/exec.go),能确保token不会因过期而失效(token的有效期为24小时),从而避免请求结果返回码为401。 但当账号权限发生变更时,token可能也会失效,不属于超期失效的情形,在该情形下,仍会出现请求结果返回码为401的情况。
如上,可以看到namespace-test这个命名空间创建成功,且存在的时长为23秒。 登录云容器实例控制台,单击左侧导航栏“命名空间”,您可以看到命令空间创建成功,但状态为“异常”。这是因为在云容器实例中,您需要为Namespace定义网络策略,具体操作方法请参见创建Network。 图2 Namespace-异常
如上,可以看到namespace-test这个命名空间创建成功,且存在的时长为23秒。 登录云容器实例控制台,单击左侧导航栏“命名空间”,您可以看到命令空间创建成功,但状态为“异常”。这是因为在云容器实例中,您需要为Namespace定义网络策略,具体操作方法请参见创建Network。 图2 Namespace-异常
created),而且 Events 里面事件确是把ReplicaSet的实例扩容到2个。在实际使用中您也许不会直接操作ReplicaSet,但了解Deployment通过控制ReplicaSet来控制Pod会有助于您定位问题。 $ kubectl describe deploy nginx
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
