检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
"port":"9113","names":""}]'。 配置验证 应用部署后,可以通过访问Nginx构造一些访问数据,然后在AOM中查看是否能够获取到相应的监控数据。 获取Nginx Pod名称。 $ kubectl get pod NAME
Ingress对象(属于networking.k8s.io或extensions API 组)的权限,可能绕过注解验证并注入任意命令,从而获取ingress-nginx控制器的凭证,并访问集群中的所有敏感信息。 判断方法 若CCE集群中安装了NGINX Ingress控制器插件,且版本号在3
https://www.example.com 配置临时重定向规则 如果您想将访问请求临时重定向至某个目标网址(状态码为302),您可以通过nginx.ingress.kubernetes.io/temporal-redirect注解进行配置。例如将所有内容临时重定向到www.example.com:
请参考无法备份HostPath类型存储卷。 集群外资源 自建镜像仓库。 可迁移至容器镜像服务SWR。 非容器化的数据库。 可迁移至云数据库服务RDS。 对象存储等非本地存储。 可迁移至对象存储服务OBS等云存储服务。 迁移流程如图1所示,对于集群外资源您可根据实际需求进行选择性迁移。
对接三方监控系统的账号(BasicAuth认证方式) basic_auth_password_third 否 String 对接三方监控系统的密码(BasicAuth认证方式) bearer_token 否 String 对接三方监控系统的Token(BearerToken认证方式)
2357Mi 109% 问题根因 出现该问题的原因是kubectl top node是调用kubelet的metrics API来获取数据的,因此看到的是节点上已使用的资源总和除以可分配的所有资源。 社区issue链接:https://github.com/kuberne
v1.19 v1.21 v1.23 新增node-problem-controller。支持基本故障隔离能力。 新增PID、FD、磁盘、内存、临时卷存储池、持久卷存储池检查项。 0.8.10 1.15.0 v1.17 v1.19 v1.21 v1.23 检测项全面加固,避免误报。 支
根据GPU/NPU卡信息定位使用该卡的Pod 在CCE中使用GPU/NPU卡时,无法直接获取到使用该卡的Pod。您可以根据GPU/NPU卡的信息,通过kubectl命令行操作筛选Pod,以便在GPU/NPU卡故障时能够及时将Pod驱逐。 前提条件 已创建CCE集群,且配置了kub
}/quotas 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 参数解释: 项目ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 账号的项目ID 默认取值: 不涉及 请求参数 表2 请求Header参数 参数
通过X509证书连接集群 操作场景 通过控制台获取集群证书,使用该证书可以访问Kubernetes集群。 操作步骤 登录CCE控制台,单击集群名称进入集群。 查看集群总览页,在右边“连接信息”下证书认证一栏,单击“下载”。 图1 获取证书 在弹出的“证书获取”窗口中,根据系统提示选择证书的过期时间并下载集群X509证书。
挂载路径)。用户可以在节点的主机路径中查看到容器输出在挂载路径中的日志信息。 容器路径:EmptyDir模式,将节点的临时路径挂载到指定的路径(挂载路径)。临时路径中存在的但暂未被采集器上报到AOM的日志数据在Pod实例删除后会消失。 主机路径 请输入主机的路径,如:/var/paas/sys/log/nginx
情况。 X509证书在Kubernetes集群上也是默认开启的,更新平台自动会维护更新。 获取集群证书 通过CCE控制台获取集群证书,使用该证书可以访问Kubernetes,详情请参见获取集群证书。 父主题: 集群创建
集群API方式:(推荐)集群API需要使用证书认证访问。直接连接集群API Server,适合大规模调用。 API网关方式:API网关采用token方式认证,需要使用账号信息获取token。适合小规模调用场景,大规模调用时可能会触发API网关流控。 详情请参见使用Kubernetes API。 父主题: API&kubectl
集群视角的成本可视化最佳实践 CCE集群安全配置建议 节点/节点池相关 制作CCE节点自定义镜像 创建节点时执行安装前/后脚本 创建节点时使用OBS桶实现自定义脚本注入 选择合适的节点数据盘大小 通过Core Dump文件定位容器问题 将节点容器引擎从Docker迁移到Containerd
Service访问Argo CD,直接使用节点IP:端口号访问即可。例如本示例中,端口号为31221。 登录用户名为admin,密码可使用如下命令获取。 # kubectl -n argocd get secret argocd-initial-admin-secret -o jsonpath="{
冻结或不可用的集群删除后如何清除残留资源 处于非运行状态(例如冻结、不可用状态)中的集群,由于无法获取集群中的PVC、Service、Ingress等资源,因此删除集群之后可能会残留网络及存储等资源,您需要前往资源所属服务手动删除。 弹性负载均衡资源 前往弹性负载均衡控制台。 通过集群使用的VPC
/redis-benchmark -h <node_ip> -p 32293 -t set,get -n 2500000 -q 请将上述脚本中的<node_ip>替换成集群中节点的实际IP,另外32293端口则为上一步服务详情中查询到的节点端口。 通过以下命令,可以查询节点当前的超卖资源量并持续观察其变化。
具备了CAP_NET_RAW能力的容器实例时,就可以获取在目标节点上监听了127.0.0.1的服务socket信息。如果在目标主机上存在127.0.0.1可以访问到且不需要任何认证鉴权的暴露服务,那么该服务信息就能被攻击者获取。问题详情请参见Placeholder issue。 可能的攻击者:
务存在重启风险;请确保在业务影响可控的前提下(如业务低峰期)进行集群升级,以消减业务容器重启带来的影响; 如需帮助,请提交工单联系运维人员获取支持。 父主题: 升级前检查异常问题排查
、节点诊断、工作负载诊断、核心插件诊断和外部依赖诊断,可以辅助您定位集群中出现的问题。本文介绍如何在集群中使用集群诊断功能。 前提条件 已获取资源权限。 集群版本高于v1.17。 集群处于“运行中”状态。 功能入口 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“健康中心”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
