检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在CCE集群中使用密钥Secret的安全配置建议 当前CCE已为secret资源配置了静态加密,用户创建的secret在CCE的集群的etcd里会被加密存储。当前secret主要有环境变量和文件挂载两种使用方式。不论使用哪种方式,CCE传递给用户的仍然是用户配置时的数据。因此建议:
通过静态存储卷使用已有文件存储 文件存储(SFS)是一种可共享访问,并提供按需扩展的高性能文件系统(NAS),适用大容量扩展以及成本敏感型的业务场景。本文介绍如何使用已有的文件存储静态创建PV和PVC,并在工作负载中实现数据持久化与共享性。 前提条件 您已经创建好一个集群,并且在
创建密钥 操作场景 密钥(Secret)是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型,内容由用户决定。资源创建完成后,可在容器工作负载中作为文件或者环境变量使用。 约束与限制 静态Pod中不可使用Secret。 操作步骤 登录CCE控制台,单击集群名称进入集群。
CPU Burst弹性限流 若Pod中容器设置了CPU Limit值,则该容器CPU使用将会被限制在Limit值以内,形成对CPU的限流。频繁的CPU限流会影响业务性能,增大业务长尾响应时延,对于时延敏感型业务的影响尤为明显。 CPU Burst提供了一种可以短暂突破CPU Li
在TFJob中指定GPU资源。 创建tf-gpu.yaml文件,示例如下: 该示例的主要功能是基于Tensorflow的分布式架构,利用卷积神经网络(CNN)中的ResNet50模型对随机生成的图像进行训练,每次训练32张图像(batch_size),共训练100次(step),记录每
mespace,请不要备份名称为paas.elb的Secret。因为paas.elb的内容是会定期更新,备份后再恢复时可能已经失效,会影响网络存储相关功能。 挂载到容器的持久化存储。 由于Restic工具限制,不支持进行HostPath类型存储迁移,解决方法请参考无法备份HostPath类型存储卷。
1及以上版本的插件支持开启公网访问,开启后需要选择一个负载均衡器作为Grafana服务入口。仅支持选择集群所在VPC下的负载均衡实例。如果使用独享型ELB,该实例还需要包含网络型规格。 须知: 开启公网访问将会把Grafana服务暴露至公网,建议评估安全风险并做好访问策略的管控。 设置插件实例的部署策略。 表2 插件调度配置
io/pid-pressure:节点存在 PID 压力。 node.kubernetes.io/network-unavailable:节点网络不可用。 node.kubernetes.io/unschedulable:节点不可调度。 node.cloudprovider.kubernetes
kubelet CPU/内存占用 低 高 运行时CPU/内存占用 低 高 节点操作系统与容器引擎对应关系 v1.23及以上的VPC网络集群都支持Containerd,容器隧道网络集群从v1.23.2-r0开始支持Containerd。 表2 CCE集群节点操作系统与容器引擎对应关系 操作系统 内核版本
Worker),使用默认调度器,有可能会出现(a)、(b)、(c)三种情况的任意一种情况,(c)才是最想要的调度结果。因为在(c)中,Ps和Worker可以利用本机网络提供传输效率,缩短训练时间。 Volcano批量调度系统:加速AI计算的利器 Volcano是一款构建于Kubernetes之上的增强型高
sysctl fs.inotify.max_user_watches netdev_max_backlog /etc/sysctl.conf 网络协议栈收包队列大小,参数值过小时极易不足。 查看参数: sysctl net.core.netdev_max_backlog net.core
将多个集群对接到同一个Prometheus监控系统,如下所示,节约维护成本和资源成本,且方便汇聚监控信息。 前提条件 目标集群已创建。 Prometheus与目标集群之间网络保持连通。 已在一台Linux主机中使用二进制文件安装Prometheus,详情请参见Installation。 操作步骤 分别获取目标集群的bearer_token
容器组(Pod)是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器(Container)、存储资源(Volume)、一个独立的网络IP以及管理控制容器运行方式的策略选项。 Pod使用主要分为两种方式: Pod中运行一个容器。这是Kubernetes最常见的用法,您可以
data 密钥数据 密钥承载的数据内容 参数名 取值范围 默认值 是否允许修改 作用范围 data 数据为key:value键值对形式的数组,其中 key: 由小写字母、数字、中划线(-)、下划线(_)、点(.)组成,长度不超过253位 value值无特别限制 整体数据量不超过1MB大小
在CCE集群中使用镜像服务的安全配置建议 容器镜像是防御外部攻击的第一道防线,对保障应用程序、系统乃至整个供应链的安全至关重要。不安全的镜像容易成为攻击者的突破口,导致容器逃逸到宿主机。一旦容器逃逸发生,攻击者便能访问宿主机的敏感数据,甚至利用宿主机作为跳板,进一步控制整个集群或
集群部分参数配置 集群参数 参数值 集群类型 CCE Turbo集群 集群版本 1.29 Region 上海一 容器引擎 Containerd 网络模型 云原生网络2.0 服务转发模式 iptables 创建ClickHouse Operator。 下载官方提供yaml文件“clickhous
本地临时卷仅在集群版本 >= v1.21.2-r0 时支持,且需要everest插件版本>=1.2.29。 网络配置: 配置节点云服务器的网络资源,用于访问节点和容器应用。 表4 网络配置参数 参数 参数说明 虚拟私有云 默认为集群所在VPC,不可修改。 节点子网 节点子网默认使用创建集群时的子网配置,也可以选择其他子网。
待纳管的云服务器所在VPC和子网需修改成节点池相同的VPC和子网。 更多操作指导请参见ECS切换虚拟私有云。 登录ECS控制台。 单击目标云服务器“操作”列下的“更多 > 网络/安全组 > 切换VPC”。 设置切换VPC参数。 虚拟私有云:选择需要切换的VPC。 子网:选择需要切换的子网。 私有IP地址:根据需求选择自动分配或使用已有IP。
<pod-name> FailedAttachVolume 请检查Everest插件状态和节点网络连接,同时确保节点具有正确的权限。 FailedMount 请检查Everest插件状态和节点网络连接,同时确保节点具有正确的权限。 InvalidDiskCapacity 请检查节点的磁
URL、TOP 访问IP。 CCE提供NGINX Ingress秒级监控能力,收集和分析关键性能指标,可实时洞察NGINX Ingress网络流量和应用性能,包括QPS、成功率、延迟、流量、状态码、后端响应码等图表。 父主题: 日志中心
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
