检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Controller 应用现状 Nginx Ingress Controller是一款业界流行的开源Ingress控制器,有着广泛的应用。在大规模集群场景下,用户有在集群中部署多套Nginx Ingress Controller的诉求,不同流量使用不同的控制器,将流量区分开。例如,集群中部分服务需要
Pod调度就绪态(GA) 在Kubernetes1.30版本中,Pod调度就绪态特性进阶至GA。此特性允许对Pod添加自定义的schedulingGates,并由用户控制何时移除这些gate,当所有gates移除后,Pod才会被认为调度就绪。详细使用方式请参考Pod调度就绪态。 验证准入策略(GA) 在Kubernetes1
如果某IAM用户拥有一定范围的集群管理权限和命名空间权限,然后在界面下载kubeconfig认证文件。此时CCE根据用户信息的权限判断kubectl有权限访问哪些Kubernetes资源,即哪个用户获取的kubeconfig文件,kubeconfig中就拥有哪个用户的认证信息,任
t工作负载滚动上线。 对使用用户命名空间运行Pod提供Alpha支持 对使用user namespace运行Pod提供alpha支持,将Pod内的root用户映射到容器外的非零ID,使得从容器角度看是root身份运行,而从主机角度看是常规的非特权用户。目前尚处于内测阶段,需要开启
检查项类型,取值如下 Exception: 异常类,需要用户解决 Risk:风险类,用户确认后可选择跳过 group String 检查项分组,取值如下 LimitCheck: 集群限制检查 MasterCheck:控制节点检查 NodeCheck:用户节点检查 AddonCheck:插件检查
CCE集群新增节点时的问题与排查方法? 注意事项 同一集群下的节点镜像保证一致,后续新建/添加/纳管节点时需注意。 新建节点时,数据盘如需分配用户空间,分配目录注意不要设置关键目录,例如:如需放到home下,建议设置为/home/test,不要直接写到/home/下。 请注意“挂载路
问题场景 集群版本:v1.15.6-r1版本 集群类型:CCE集群 网络模式:容器隧道网络模式 节点操作系统:CentOS 7.6 上述集群的用户配置使用networkpolicy后,由于节点上canal-agent网络组件与CentOS 7.6内核存在不兼容,概率性导致CentOS
Kubernetes subpath符号链接交换安全漏洞(CVE-2021- 25741) 漏洞详情 社区在 Kubernetes 中发现了一个安全问题,用户可以创建一个带有subPath volume挂载的容器,访问卷外的文件和目录,包括主机文件系统上的文件和目录。 容器使用subPath去挂
集群与虚拟私有云、子网的关系是怎样的? “虚拟私有云”类似家庭生活中路由器管理192.168.0.0/16的私有局域网,是为用户在云上构建的一个私有网络,是弹性云服务器、负载均衡、中间件等工作的基本网络环境。根据实际业务需要可以设置不同规模的网络,一般可为10.0.0.0/8~24,172
容请参见负载均衡(LoadBalancer)。 Headless Service 前面讲的Service解决了Pod的内外部访问问题,允许客户端连接到Service关联的某个Pod。但还有下面这些问题没解决。 同时访问所有Pod 一个Service内部的Pod互相访问 为了解决以
匿名请求的用户名为 system:anonymous, 用户组名为 system:unauthenticated 配置建议: 如涉及使用匿名(不携带身份凭证)访问的场景(如使用kubeadm过程中涉及部分查询操作),可以按需开启匿名访问 开启匿名访问的场景下请对匿名请求的用户名和分组
该漏洞为Linux内核权限校验漏洞,根因为没有针对性的检查设置release_agent文件的进程是否具有正确的权限。在受影响的OS节点上,工作负载使用了root用户运行进程(或者具有CAP_SYS_ADMIN权限),并且未配置seccomp时将受到漏洞影响。 CCE集群受该漏洞影响的范围如下: x86场景EulerOS
文介绍Kubernetes集群中CoreDNS配置优化的最佳实践,帮助您避免此类问题。 解决方案 CoreDNS配置优化包含客户端优化及服务端优化。 在客户端,您可以通过优化域名解析请求来降低解析延迟,通过使用合适的容器镜像、节点DNS缓存NodeLocal DNSCache等方式来减少解析异常。
如何退订我的云容器引擎? 客户购买包周期资源后,支持客户退订包周期实例。退订资源实例包括资源续费部分和当前正在使用的部分,退订后资源将无法使用。退订资源实例需收取手续费。 注意事项 退订该实例是指退订续费部分和当前正在使用的部分,资源退订后将无法使用。 解决方案组合产品只支持整体退订。
跟踪和问题定位等常见应用场景。 用户开通云审计服务后,系统将开始记录CCE资源的操作,并为您保存最近7天的操作记录。CTS支持记录的CCE操作请参见云审计服务支持CCE操作列表。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 CCE用户查看云审计日志方法,请参见云审计日志。
请参见表1。ClickHouse Operator是在Kubernetes上部署和管理ClickHouse集群的工具,它具备复制集群、管理用户与配置文件以及处理数据持久化的存储卷等功能。这些功能共同简化了应用程序的配置、管理和监控工作。 表1 ClickHouse容器化部署方式 部署方式
求比较简单,且不希望引入过多的插件或复杂的用法,则可以参考本文利用Kubernetes原生的特性实现简单的灰度发布和蓝绿发布。 原理介绍 用户通常使用无状态负载 Deployment、有状态负载 StatefulSet等Kubernetes对象来部署业务,每个工作负载管理一组Po
x Ingress支持基于Header、Cookie和服务权重三种流量切分的策略,基于这三种策略可实现以下两种发布场景: 场景一:切分部分用户流量到新版本 假设线上已运行了一套对外提供七层服务的Service A,此时开发了一些新的特性,需要发布上线一个新的版本Service A
CCE集群根证书是Kubernetes认证的基础证书,华为云上的Kubernetes集群管理面托管在CCE管理平台上,证书也在CCE的管理平台上,不对用户开放,这个证书在平台上会定期维护,不会出现过期的情况。 X509证书在Kubernetes集群上也是默认开启的,更新平台自动会维护更新。 获取集群证书
kubelet启动参数中默认将CPU Manager的策略设置为static,允许为节点上具有某些资源特征的pod赋予增强的CPU亲和性和独占性。用户如果直接在ECS控制台对CCE节点变更规格,会由于变更前后CPU信息不匹配,导致节点上的负载无法重新拉起,也无法创建新负载。 更多信息请参
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
