检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
_mode问题说明 发布时间:2022/01/27 CCE集群在IPVS模式下,通过Service方式访问集群内部服务,偶现1秒延时的情况,引起该问题的主要原因为社区IPVS连接复用Bug。 详情请参见CCE集群IPVS转发模式下conn_reuse_mode问题说明。 父主题:
新建节点检查 检查内容 检查集群是否可以正常创建节点。 检查步骤 登录CCE控制台,单击集群名称进入集群。 在导航栏中选择“节点管理”,并切换至“节点”页签,单击“创建节点”。节点配置详情请参见创建节点。 图1 创建节点 解决方案 若集群升级后您的集群无法创建节点,请联系技术支持人员。
unit="byte"} 创建成功后,可以访问Prometheus的Web页面,在“Status > Rules”页面中找到配置的PrometheusRules。 如何通过PrometheusRules配置告警规则 通过配置PrometheusRules的CR资源来创建普罗的告警规则。以集群C
io/permanent-redirect: https://www.example.com 在Nginx Ingress中的配置如下: 请参见通过kubectl连接集群,使用kubectl连接集群。 创建名为“ingress-test.yaml”的YAML文件,此处文件名可自定义。 vi ingress-test.yaml
污点(Taint)能够使节点排斥某些特定的Pod,从而避免Pod调度到该节点上。 通过控制台管理节点污点 在CCE控制台上同样可以管理节点的污点,且可以批量操作。 登录CCE控制台,单击集群名称进入集群。 在集群控制台左侧导航栏中选择“节点管理”,切换至“节点”页签,勾选目标节点,并单击左上方“标签与污点管理”。
如果您需要通过命令行创建,需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。 您已经创建好一个文件存储,并且文件存储与集群在同一个VPC内。 使用通用文件系统(SFS 3.0)时,您需要提前在集群所在VPC创建一个VPC终端节点,集群需要通过VPC终端节点访问通用文件系统。配置VPC
CustomResourceDefinition资源不再支持apiextensions.k8s.io/v1beta1 API。如果使用旧版本API创建自定义资源定义,会导致定义创建失败,进而影响调和(reconcile)该自定资源的控制器,请尽快使用apiextensions.k8s
主机路径(HostPath)挂载表示将主机上的路径挂载到指定的容器路径。通常用于:“容器工作负载程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器工作负载”。 登录CCE控制台。 在创建工作负载时,在“容器配置”中找到“数据存储”,选择“主机路径(HostPath)”。 设置添加本地磁盘参数,如表1。
建本地存储池,则实际上仅能挂载16块数据盘。该场景下,如果该节点上调度18个挂载1块云硬盘的工作负载实例,就会出现2个工作负载实例由于节点上无法再挂载云硬盘,出现以上错误。 解决方案 当CCE 容器存储 (Everest)插件版本为2.3.11及以上时,插件提供number_of
请选择节点对应的操作系统。 * 登录方式 选择“密码”:用户名默认为“root”,请输入登录节点的密码,并确认密码。 请妥善管理密码,登录节点时需要使用该密码,系统无法获取您设置的密码内容。 选择“密钥对”:在选项框中选择用于登录本节点的密钥对,并单击勾选确认信息。 密钥对用于远程登录节点时的身份认
概念 会话保持可以确保用户在访问应用时的连续性和一致性。如果在客户端和服务器之间部署了负载均衡设备,很有可能这多个连接会被转发至不同的服务器进行处理。开启会话保持后,负载均衡会把来自同一客户端的访问请求持续分发到同一台后端云服务器上进行处理。 例如在大多数需要用户身份认证的在线系统中
allowedUnsafeSysctls v1.19以上 docker /etc/docker/daemon.json dm.basesize v1.19以上 解决方案 如您对这些文件的某些参数进行修改,有可能导致升级之后出现异常情况。如果您不能确认自行修改的参数是否会影响到升级,请联系技术人员确认。
通过节点池功能您还可以实现节点的动态扩缩容(仅按需计费的节点池支持): 当集群中出现因资源不足而无法调度的实例(Pod)时,自动触发扩容,为您减少人力成本。 当满足节点空闲等缩容条件时,自动触发缩容,为您节约资源成本。 本章节介绍节点池在云容器引擎(CCE)中的工作原理,以及如何创建和管理节点池。
OpenKruise插件兼容性检查异常处理 检查项内容 检查集群升级时,OpenKruise插件是否存在兼容性问题。 解决方案 Kubernetes社区在1.24版本移除了对dockershim的支持。CCE为兼顾用户使用docker运行时的习惯,在CCE的v1.25及以上的集群版本引入了cri-docke
后,将会在集群中新增两类CRD资源,其中BalancerPolicyTemplate用来进行优先级策略定义,Balancer用来申明扩缩容优先级的作用范围。一个Balancer CR资源对应一个BalancerPolicyTemplate CR资源,两者结合共同申明哪些工作负载使
污点影响 node.kubernetes.io/upgrade NoSchedule 解决方案 问题场景一:该节点为集群升级过程中跳过的节点。 配置Kubectl命令,具体请参见通过kubectl连接集群。 查看对应节点kubelet版本,以下为正常回显: 图1 kubelet版本
均分模式,默认:false。插件Deployment实例均匀调度到当前集群下各可用区,增加新的可用区后建议扩容插件实例以实现跨可用区高可用部署;均分模式限制不同可用区间插件实例数相差不超过1,单个可用区资源不足会导致后续其他实例无法调度。 tolerations 否 Array of
是否被用户挂载。 低于v1.23.16-r0、v1.25.11-r0、v1.27.8-r0、1.28.6-r0、v1.29.2-r0版本的集群:CCE默认创建链接/var/lib/kubelet -> /mnt/paas/kubernetes/kubelet,检查是否被用户修改。
CCE集群所在VPC与线下IDC已经使用专线或其他方式正确连接,IDC与VPC网段和CCE集群容器网段能够互访。专线的创建方法请参见云专线快速入门。 操作步骤 在CCE集群所在VPC创建 DNS Endpoint。 登录VPCEP控制台。 单击右上角“购买终端节点”。 选择DNS
runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465) 漏洞详情 业界安全研究人员披露runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。