检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
配置工作负载 安全运行时与普通运行时 设置时区同步 设置镜像拉取策略 使用第三方镜像 使用SWR企业版镜像仓库镜像 设置容器规格 设置容器生命周期 设置容器健康检查 设置环境变量 设置性能管理配置 设置工作负载升级策略 设置容忍策略 设置标签与注解 父主题: 工作负载
第三方服务集成:网站可能需要调用第三方服务(例如地图服务、社交平台登录等)的API接口,则需要配置CORS允许跨域访问。 使用内容分发网络CDN:静态资源可能通过CDN提供,而CDN域名与主站域名不同,需要使用跨域访问来加载这些资源。
图1 gRPC示意图 在gRPC中,客户端应用程序可以直接调用位于不同机器上的服务端应用方法,可以轻松创建分布式应用程序和服务。
场景分类 相关最佳实践 存储扩容实践 存储扩容 存储配置实践 挂载第三方租户的对象存储 通过StorageClass动态创建SFS Turbo子目录 自定义StorageClass 使用延迟绑定的云硬盘(csi-disk-topology)实现跨AZ调度 使用通用文件存储(SFS
集群级别:集群下所有节点的IP+节点端口均可以访问到此服务关联的负载,服务访问会因路由跳转导致一定性能损失,且无法获取到客户端源IP。 节点级别:只有通过负载所在节点的IP+节点端口才可以访问此服务关联的负载,服务访问没有因路由跳转导致的性能损失,且可以获取到客户端源IP。
Prometheus社区提供丰富的第三方exporter可以直接使用,具体请参见EXPORTERS AND INTEGRATIONS。
EquipmentSocketServer.java:245) at com.wanyu.smarthome.gateway.EquipmentSocketServer.run(EquipmentSocketServer.java:115) 分析结果 使用Java NIO建立Socket服务端,当客户端意外关闭的情况
镜像的管理是由容器镜像服务(SoftWare Repository)提供的,当前容器镜像服务提供如下上传镜像的方法: 客户端上传镜像 页面上传镜像 如您需要将Harbor镜像仓库平滑地迁移到容器镜像服务,请参考跨云Harbor同步镜像至华为云SWR。 父主题: 镜像仓库
例如,客户端需要访问API Server的IP为100.*.*.*,则可添加5443端口入方向规则的源地址为100.*.*.*。 除客户端IP外,端口还需保留对VPC网段、容器网段和托管网格控制面网段放通,以保证集群内部可访问API Server。
客户端会通过NDP进行自身网络配置。本文介绍该漏洞的影响。
表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 其它 CVE-2020-8559 中 2020-07-15 漏洞影响 由于kube-apiserver中在升级请求的代理后端中允许将请求传播回源客户端,攻击者可以通过截取某些发送至节点kubelet的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点
CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启双向认证功能时,只有当客户端能够出具指定CA签发的证书时,连接才能成功。 服务器证书:选择一个服务器证书。如果当前无可选证书,需前往弹性负载均衡控制台进行创建,详情请参见创建证书。
为ELB Ingress配置HTTP/2 Ingress支持HTTP/2的方式暴露服务,在默认情况下,客户端与负载均衡之间采用HTTP1.X协议,若需开启HTTP2功能,可通过控制台配置和通过kubectl命令行配置。
第三方服务集成:网站可能需要调用第三方服务(例如地图服务、社交平台登录等)的API接口,则需要配置CORS允许跨域访问。 使用内容分发网络CDN:静态资源可能通过CDN提供,而CDN域名与主站域名不同,需要使用跨域访问来加载这些资源。
kubernetes.io/elb.client_timeout 否 String 等待客户端请求超时时间,包括两种情况: 读取整个客户端请求头的超时时长:如果客户端未在超时时长内发送完整个请求头,则请求将被中断。
例如:Service有2个EndPoint,但是DNS查询时只会返回Service的地址,具体client访问的是哪个Real Server,是由iptables或IPVS规则来决定的,客户端无法自行选择访问指定的EndPoint。
伸缩配置 节点池弹性扩缩容开关 节点池启用弹性扩缩容后,autoscaler插件将基于上下限、缩容冷却时间、节点池扩容优先级、弹性伸缩场景配置,由autoscaler解析并限制客户端弹性伸缩决策。
使用CCE设置工作负载访问方式时,端口如何填写? CCE支持工作负载的内部互访和被互联网访问两种方式。 内部访问:包括集群内访问(通过集群虚拟IP)和节点访问(通过节点私有IP)两种方式。 表1 内部访问类型说明 内部访问类型 说明 端口如何填写 集群内访问(通过集群虚拟IP) 用于
kube-api-qps 大于等于0 默认值100;1000节点以上规格值为200 允许 CCE Standard/CCE Turbo 控制器访问kube-apiserver的QPS 配置建议: 无特殊需求建议保持默认配置 配置过大可能会导致kube-apiserver过载,配置过小可能会触发客户端限流
漏洞修复方案 使用可信的镜像,避免使用来源不明的第三方镜像,推荐使用容器镜像服务SWR。 CCE已提供大于1.4.1-96的containerd版本,请迁移至符合要求的节点。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
