检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CCE集群基于已有基础资源(VPC)创建集群、节点时,请确保IAM用户在已有资源的企业项目下有相关权限,否则可能导致集群或者节点创建失败。 当资源不支持企业项目时,为企业项目授予该资源的权限将不会生效。 是否支持企业项目 资源名称 说明 支持企业项目的资源 cluster 集群 node
系统委托,其中包含CCE组件需要的云服务资源操作权限,但不包含支付权限,详情请参见系统委托说明。在创建包周期的云硬盘存储卷时,要求包含支付权限,因此需要为cce_cluster_agency委托中添加bss:order:pay权限。 解决方案 您可以创建一个自定义策略,为该策略添
的异常不影响其访问。访问方式由公网弹性IP地址以及设置的访问端口组成,例如“10.117.117.117:80”。 图1 DNAT网关 ( DNAT ) 约束与限制 关于NAT网关的使用,您需要注意以下几点: DNAT规则不支持企业项目授权。 集群内容器不支持访问external
_mode问题说明 问题说明 对于节点内核版本小于5.9的场景,CCE集群在IPVS模式下,通过Service方式访问集群内部服务,偶现1秒延时或者后端业务升级后访问Service失败的情况,引起该问题的主要原因为社区IPVS连接复用Bug。 IPVS连接复用参数说明 IPVS对端口的复用策略主要由内核参数net
中发现了一个安全问题,用户可以创建一个带有subPath volume挂载的容器,访问卷外的文件和目录,包括主机文件系统上的文件和目录。 容器使用subPath去挂载一些文件或者目录时,攻击者可能利用Symlink Exchange 访问除挂载目录之外的目录或者主机上的文件,造成越权。 表1 漏洞信息
统不间断提供服务。如果直接将某版本上线发布给全部用户,一旦遇到线上事故(或BUG),对用户的影响极大,解决问题周期较长,甚至有时不得不回滚到前一版本,严重影响了用户体验。 解决方案 长期以来,业务升级逐渐形成了几个发布策略:灰度发布、蓝绿发布、A/B测试、滚动升级以及分批暂停发布
持单击直接访问,查看采集结果,方便您对采集任务进行查看和分析管理。 采集端点访问403的原因是什么?该如何处理? 问题根因 您的采集端点对应的采集任务ServiceMonitor/PodMonitor配置了认证,出于安全考虑,页面访问默认不支持访问需认证的端点。 解决方案:您可以通过配置,允许访问带认证的端点。
致应用CPU飚高,响应时间变慢。为了解决这个问题,CCE提供了定时策略,对于一些有周期性变化的应用,提前扩容资源,而业务低谷时,定时回收资源。 VPA工作原理 VPA主要包含三个组件: VPA Recommender:根据历史数据给出Pod资源调整建议。 VPA Updater:
例,AOM针对基础指标免费,自定义指标由AOM服务收费,具体请参考价格详情。 云原生监控插件在集群中运行需要消耗集群资源,请确保集群资源能够满足插件的安装。具体资源消耗可以前往“插件中心”云原生监控插件安装页面获取。 前提条件 开通监控中心前,用户需要使用具有admin用户组的账户完成对CCE及其依赖服务的委托授权。
参考Pod常见异常问题查找异常的解决方案。 如果工作负载状态为“处理中”,一般为过程中的状态,请耐心等待。 如果工作负载状态为“运行中”,一般无需处理。如果出现状态正常但无法访问的情况,则需要进一步排查集群内访问是否正常。 集群内部是否可以正常访问 您可以在CCE控制台界面或者使
检查项一自检 针对Nginx类型的Ingress资源,查看对应Ingress的YAML,如Ingress的YAML中未指定Ingress类型,并确认该Ingress由Nginx Ingress Controller管理,则说明该Ingress资源存在风险。关于该问题的触发原因详情,请参见问题根因。
/删除操作均会被拦截。 解决方案: 将kruise-controller-manager组件恢复正常即可正常调度。造成kruise-controller-manager异常的原因及解决建议如下: kruise-controller-manager所需的资源不够无法正常调度:建议为插件配置合理的资源。
因为Kubernetes APIServer开启了RBAC访问控制,所以需创建tiller使用的service account:tiller并给其分配cluster-admin这个集群内置的ClusterRole。按如下创建tiller的资源账号。 vim tiller-rbac.yaml
被同步删除的情况。 问题根因 在开源csi-provisioner模块业务逻辑中,常规情况下删除动态创建的PVC,会先删除PVC,待PVC资源删除成功后,将PV状态更新为Released。csi-provisioner会监听到PV更新事件,开始执行删底层卷的流程,等底层卷删除成功
t是kubernetes中的字段,即安全上下文,它用于定义Pod或Container的权限和访问控制设置。 启动命令中是否包含ls、chmod、chown等查询或修改文件权限的操作。 解决建议: 请根据您的业务需求,判断是否需要修改。 父主题: 工作负载异常问题排查
下影响: 延迟增加:CoreDNS需要处理更多的请求,可能会导致DNS查询变慢,从而影响业务性能。 资源占用率增加:为保证DNS性能,CoreDNS往往需要更高规格的配置。 解决方案 为了避免DNS延迟的影响,可以在集群中部署NodeLocal DNSCache来提升服务发现的稳定性和性能。NodeLocal
容器和虚拟机具有相似的资源隔离和分配方式,容器虚拟化了操作系统而不是硬件,更加便携和高效。 图1 容器 vs 虚拟机 相比于使用虚拟机,容器有如下优点: 更高效地利用系统资源 由于容器不需要进行硬件虚拟以及运行完整操作系统等额外开销,容器对系统资源的利用率更高。无论是应用执行
节点DNS检查异常处理 检查项内容 当前检查项包括以下内容: 检查当前节点DNS配置是否能正常解析OBS地址 检查当前节点是否能访问存储升级组件包的OBS地址 解决方案 节点升级过程中,需要从OBS拉取升级组件包。此项检查失败,请联系技术人员支持。 父主题: 升级前检查异常问题排查
集群中访问集群外地址时使用Pod IP作为客户端源IP。 说明: 如果需要保证节点能正常访问跨节点的Pod,该参数中设置的网段必须包含节点的子网网段。 同理,如果同VPC下的其他ECS节点需要能正常访问Pod IP,该参数中设置的网段必须包含ECS所在子网网段。 Pod访问元数据(CCE
刷新成默认值。 解决方案 根据诊断分析中的日志排查网络组件canal-controller的NetworkPolicy开关是否确实需要关闭。例如,集群通过云专线访问云外地址时,云外交换机不支持ip-option,开启NetworkPolicy可能导致网络无法访问,则需要手动关闭NetworkPolicy开关。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
