检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
容器驱逐配置 容器迁移对节点不可用状态的容忍时间 当节点出现异常,变为不可用状态时,容器将在该容忍时间后自动驱逐,默认为300s。 参数名 取值范围 默认值 是否允许修改 作用范围 default-not-ready-toleration-seconds 无强校验 300 允许 CCE
设置工作负载亲和/反亲和调度(podAffinity/podAntiAffinity) 工作负载亲和/反亲和调度是Kubernetes提供的任务调度方式,可以使用工作负载作为亲和对象,灵活地将新建的工作负载调度到与其相关或无关的节点上,可以有效地提高集群的利用率。 例如,通信频繁
namespace下的Pod(且不是DaemonSets创建的Pod),节点在什么情况下不会缩容请参见Cluster Autoscaler工作原理。 总结 通过上述内容可以看到,使用HPA+CA可以很容易做到弹性伸缩,且节点和Pod的伸缩过程可以非常方便地观察到,使用HPA+CA做弹性伸缩能够满足大部分业务场景需求。
集群配置概览 集群配置中心为您提供集群基础配置的概况及对应的修改入口,包含集群信息、集群配置、集群控制节点可用区和已安装插件多维度的信息概况。 功能入口 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“配置中心”,单击“配置概览”页签。 图1 配置概览 集群信息
创建有状态负载(StatefulSet) 操作场景 在运行过程中会保存数据或状态的工作负载称为“有状态工作负载(statefulset)”。例如MySQL,它需要存储产生的新数据。 因为容器可以在不同主机间迁移,所以在宿主机上并不会保存数据,这依赖于CCE提供的高可用存储卷,将存
Linux CUPS服务RCE 漏洞公告(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 REC CVE-2024-47076 CVE-2024-47175
Gatekeeper 插件简介 Gatekeeper是一个基于开放策略(OPA)的可定制的云原生策略控制器,有助于策略的执行和治理能力的加强,在集群中提供了更多符合Kubernetes应用场景的安全策略规则。 开源社区地址:https://github.com/open-policy-agent/gatekeeper
最新公告 以下为CCE发布的最新公告,请您关注。 序号 公告标题 公告类型 发布时间 1 Kubernetes安全漏洞公告(CVE-2024-10220) 漏洞公告 2024/12/04 2 Kubernetes安全漏洞公告(CVE-2024-9486,CVE-2024-9594)
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证调用请求。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。
Linux Polkit 权限提升漏洞预警(CVE-2021-4034) 漏洞详情 国外安全研究团队披露在polkit的pkexec程序中存在一处权限提升漏洞(CVE-2021-4034,亦称PwnKit),攻击者通过在其默认配置中利用此漏洞实现用任何非特权用户获取易受攻击主机的
CCE集群的节点可以更改IP吗? 不支持修改私网IP:当前CCE的集群中把节点私网IP作为kubernetes node名称,kubernetes node名称不支持修改,修改后会导致节点不可用及容器网络异常等故障,所以不支持更换节点私网IP。 支持修改公网IP:节点上的公网IP可以在ECS控制台更换。
节点挂载点检查异常处理 检查项内容 检查节点上是否存在不可访问的挂载点。 解决方案 问题场景:节点上存在不可访问的挂载点 节点存在不可访问的挂载点,通常是由于该节点或节点上的Pod使用了网络存储nfs(常见的nfs类型有obsfs、sfs等),且节点与远端nfs服务器断连,导致挂
系统委托说明 由于CCE在运行中对计算、存储、网络以及监控等各类云服务资源都存在依赖关系,因此当您首次登录CCE控制台时,CCE将自动请求获取当前区域下的云资源权限,从而更好地为您提供服务。服务权限包括: 计算类服务 CCE集群创建节点时会关联创建云服务器,因此需要获取访问弹性云服务器、裸金属服务器的权限。
containerd容器进程权限提升漏洞公告(CVE-2022-24769) 漏洞详情 containerd开源社区中披露了一个安全漏洞,在containerd创建容器的场景,非root容器进程的初始inheritalbe capability不为空,可能会造成在execve执行
如何驱逐节点上的所有Pod? 您可使用kubectl drain命令从节点安全地逐出所有Pod。 默认情况下,kubectl drain命令会保留某些系统级Pod不被驱逐,例如everest-csi-driver。 使用kubectl连接集群。 查看集群中的节点。 kubectl
工作负载监控 如果您需要监控工作负载的资源使用情况,可以前往“监控中心 > 工作负载”页面查看。该页面提供了指定集群下所有工作负载的综合信息,以及单个工作负载的详细监控数据,包括CPU/内存使用率、网络流入/流出速率等。 功能入口 登录CCE控制台,单击集群名称进入集群详情页。
节点规格说明 您可以通过本节快速浏览CCE支持的节点规格清单及相关特性,帮助您选择合适的机型规格。 节点类型 说明 节点规格 弹性云服务器-虚拟机 使用KVM/擎天虚拟化技术的弹性云服务器类型,针对不同的应用场景,可以选择多种规格类型,提供不同的计算能力和存储能力。 X86机型:
namespace下的Pod(且不是DaemonSets创建的Pod),节点在什么情况下不会缩容请参见Cluster Autoscaler工作原理。 总结 通过上述内容可以看到,使用HPA+CA可以很容易做到弹性伸缩,且节点和Pod的伸缩过程可以非常方便地观察到,使用HPA+CA做弹性伸缩能够满足大部分业务场景需求。
使用共享VPC创建CCE Turbo集群 共享VPC简介 共享VPC是通过资源访问管理服务(RAM)将本账号的VPC资源共享给其他账号使用。例如,租户A可以将自己账号下创建的VPC和子网共享给租户B。在租户B接受共享以后,租户B账号下可以查看到该共享子网及其所属的共享VPC,并可
负载均衡器配置:共享型elb自动创建配置 负载均衡器名称 自动创建的负载均衡器名称。 参数名 取值范围 默认值 是否允许修改 作用范围 name 1-255个字符 无 允许 CCE Standard/CCE Turbo 自动创建的负载均衡器名称。 支持网络类型 自动创建的负载均衡器属性:inner为私网
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
