检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在CCE中安装部署Jenkins Gitlab对接SWR和CCE执行CI/CD 使用Argo CD实现持续交付 使用Jenkins和Gitlab实现多集群隔离的DevOps 父主题: 工作负载
使用注解为Pod绑定安全组 使用场景 云原生网络2.0网络模式下,Pod使用的是VPC的弹性网卡/辅助弹性网卡,可以通过配置Pod的annotation为Pod配置安全组。 支持两种方式的安全组配置: Pod的网卡使用annotation配置的安全组,对应annotation配置:yangtse
使用便捷:您可以像使用传统服务器硬盘一样,对挂载到服务器上的块存储(硬盘)做格式化、创建文件系统等操作。 数据不共享:每台服务器使用独立的块存储(硬盘),多服务器之间数据隔离。 私有网络:数据访问必须在数据中心内部网络中。 容量性能:单卷容量有限(TB级),但性能极佳(IO读写时延ms级)。 使用限制:不支持导
overlay_l2:容器隧道网络,通过OVS(OpenVSwitch)为容器构建的overlay_l2网络。 vpc-router:VPC网络,使用ipvlan和自定义VPC路由为容器构建的Underlay的l2网络。 配置建议: 优选CCE Turbo 容器网络网段 集群下容器使用的网段,决定了集群下容器的数量上限。创建后不可修改。
网络 网络概述 容器网络 服务(Service) 路由(Ingress) DNS 集群网络配置 容器如何访问VPC内部网络 从容器访问公网 网络管理最佳实践
云原生应用金丝雀发布、蓝绿发布。 ELB Ingress 网关全托管、免运维、高可用。 云原生应用七层高性能自动弹性。 云原生应用金丝雀发布、蓝绿发布。 性能独享,资源隔离,单实例单AZ最高支持2千万并发连接,满足用户的海量业务访问需求。 功能对比 比较项 Nginx Ingress ELB Ingress 产品定位
跨云Harbor同步镜像至华为云SWR 场景描述 部分客户存在多云场景,并且使用某一家云上的自建Harbor作为镜像仓库。跨云Harbor同步镜像至SWR存在两种场景: Harbor可以通过公网访问SWR,配置方法参见公网访问场景。 通过专线打通Harbor到VPC间的网络,使用
”后的按钮,检查集群的节点默认安全组是否被删除,且安全组规则需要满足集群安全组规则配置。 如果您的账号下含有多个集群,需要统一管理节点的网络安全策略,您也可以指定自定义的安全组,具体操作方法及约束限制请参见更改集群节点的默认安全组。 排查项四:资源配额是否不足 问题现象: 在CCE集群中新增节点时,提示资源配额不足。
的最小值 建议节点最大实例数不要超过节点可分配容器IP数,否则当节点容器IP数不足时,新建Pod将无法在该节点上正常运行。 “云原生2.0网络”集群(CCE Turbo集群) 取决于节点最大实例数和CCE Turbo集群节点网卡数量中的最小值 建议节点最大实例数不要超过节点网卡数
启后将影响"docker exec"命令,升级集群版本时将触发docker版本更新,触发docker重启,因此存在建议: 建议您提前排空、隔离该节点后进行集群升级。 建议您升级至1.19及更高版本后,通过重置节点操作更换更高版本镜像,例如欧拉2.9镜像。 父主题: 升级前检查异常问题排查
性伸缩的云服务器,帮助用户打造可靠、安全、灵活、高效的应用环境,确保服务持久稳定运行,提升运维效率。 虚拟私有云VPC:是用户在云上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以申请弹性带宽和弹性IP搭建业务系统。 基本概念
段放通,以保证集群内部可访问API Server。 如果您需要使用CloudShell功能,请保留5443端口对198.19.0.0/16网段放通,否则将无法访问集群。 修改完成后单击“确认”。 父主题: 安全加固
如何获取TLS密钥证书? 场景 当您的Ingress需要使用HTTPS协议时,创建Ingress时必须配置IngressTLS或kubernetes.io/tls类型的密钥。 以创建IngressTLS密钥证书为例。如图1: 图1 创建密钥 密钥数据中上传的证书文件和私钥文件必须是配套的,不然会出现无效的情况。
的驱逐上限且节点request值超过100%时,将会驱逐离线作业。 内核提供CPU/内存隔离特性 CPU隔离:在线作业能够快速抢占离线作业的CPU资源,并压制离线作业的CPU使用。 内存隔离:系统内存资源用尽触发OOM Kill时,内核优先驱逐离线作业。 Kubelet离线作业准入规则
EulerOS 2.0操作系统,从CPU、L3缓存、内存、网络、存储等全方位提供资源隔离能力,并以内核态为主,用户态为辅,通过快速抢占(毫秒)和快速驱逐(秒级),保障在线业务的服务质量。 资源隔离的措施,如:CPU的绑核、NUMA亲和性、潮汐亲和特性,网络带宽控制等,有效的保障资源敏感型业务的SLO。
Limit值,以降低业务长尾响应时延,详情请参见CPU Burst弹性限流。 出口网络带宽 开启 在CCE Turbo集群中,支持在线业务与离线业务的网络隔离,详情请参见出口网络带宽保障。 资源超卖 开启 通过实时采集节点负载信息,挖掘节点已分配、但未使用的资源,实现动态超卖节点资源。您可以选择
allowPrivilegeEscalation: false 通过以下命令对容器内的/etc/hosts文件进行监控,如果该文件的大小异常,请采取相应告警或容器隔离措施。 find /var/lib/kubelet/pods/*/etc-hosts -size +1M 父主题: 漏洞公告
29 v1.30 支持节点池粒度配置XGPU 支持GPU渲染场景 支持v1.30集群 2.6.4 v1.28 v1.29 更新GPU卡逻辑隔离逻辑 2.6.1 v1.28 v1.29 升级GPU插件基础镜像 2.5.6 v1.28 修复安装驱动的问题 2.5.4 v1.28 支持v1
安全 责任共担 数据保护技术 审计与日志 监控安全风险 认证证书
网络指导 CCE如何与其他服务进行内网通信? 使用CCE设置工作负载访问方式时,端口如何填写? Ingress中的property字段如何实现与社区client-go兼容? 服务加入Istio后,如何获取客户端真实源IP? 为什么更换命名空间后无法创建Ingress? 服务发布到ELB,ELB的后端为何会被自动删除?
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
