检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务深度整合,用户VPC网络与CCI物理主机网络不在同一个2层域中。CCI服务侧没有信息泄漏风险。 用户容器内核默认没有开启net.ipv4.conf.all.route_localnet=1参数,用户绑定在localhost的进程无法进行同VPC内跨节点访问。用户侧没有信息泄漏风险。
单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。因为云容器实例采用的是共享多租集群,因此容器的安全隔离比用户独立拥有私有Kubernetes集群有更严格的要求。通过安全容器,不同租户之间的容器之间,内核、计算资源、存储和网络都是隔离开的。保护了用户的资源和数据不被其他用户抢占和窃取。
kubernetes.io)将转发到上游域名服务器(默认为内网DNS)。 配置存根域和上游域名服务器的解析逻辑请参考https://support.huaweicloud.com/usermanual-cci/cci_01_0057.html。 使用该策略的前提是用户Pod所在命名空间已经安装C
本文通过调用一系列云容器实例的API使用nginx镜像创建一个工作负载,介绍使用云容器实例API的基本流程。 其中,镜像直接使用开源镜像中心的nginx镜像,容器的资源规格为0.25核CPU、512M内存,并绑定一个负载均衡实例,通过负载均衡实例从外网访问容器负载。 API的调用方法请参见如何调用API。
速能力,并且都是任务型计算,需要快速申请大量资源,计算任务完成后快速释放。 云容器实例提供如下特性,能够很好的支持这类场景。 计算加速:提供GPU/Ascend等异构芯片加速能力 大规模网络容器实例调度:支持大规模、高并发的容器创建和管理 随启随用、按需付费:容器按需启动,按资源规格和使用时长付费
该配置是检查用户业务是否就绪,不就绪则不转发流量到当前实例。 单击展开“生命周期”,配置容器的“停止前处理”,保证容器在退出过程中能够对外提供服务。 图3 配置生命周期 该配置是保证业务容器在退出过程中能够对外提供服务。 单击“下一步:访问设置”,如图4。 图4 配置访问类型及端口
果为专属节点可根据客户需求进行调整。 为了确保数据的安全性,在创建容器时容器引擎会从devicemapper获取虚拟化盘,其他容器引擎无法访问。 父主题: 存储管理类
监控安全风险 通过AOM查看Pod监控数据 为使用户更好的掌握工作负载的运行状态,CCI配合AOM对其进行全方位的监控。 通过AOM界面您可监控CCI的基础资源和运行在CCI上的应用,同时在AOM界面还可查看相关的日志和告警。 更多内容,请参见监控管理。 Pod资源监控指标 CC
时配合docker run -p <宿主端口>:<容器端口>一起使用,云容器实例中容器如果要对外暴露端口,只需在创建负载的时候配置负载访问端口:容器端口的映射,这样就可以通过负载请求域名:负载访问端口访问到容器。 父主题: 负载创建
CCI暂时不支持独享型负载均衡,建议您创建共享型ELB实例。 负载端口配置 协议:访问负载的通信协议,可选择TCP或UDP。 访问端口:负载提供的访问端口,即为服务端口,可自定义。 容器端口:容器监听的端口,负载访问端口映射到容器端口,Prometheus的默认端口号为9090。 图2 配置公网访问-工作负载创建完成后
详情请参见访问密钥。 登录云容器实例控制台,单击左侧导航栏的“存储管理 > 对象存储卷”,在右侧页面中选择命名空间,单击“上传密钥”。 选择本地的密钥文件,单击“确认”。 请添加csv格式的文件,且文件大小不能超过2M。如果您在本地没有访问密钥,请前往“我的凭证”的访问密钥新增并下载访问密钥。
B两种方式。 公网访问:通过弹性负载均衡,从外部访问负载。 本例中,选择配置为“公网访问”,这样可以通过负载均衡的IP和端口访问2048负载。 配置服务名称为“deployment-2048”,选择ELB实例,如果没创建负载均衡,可以单击“创建共享型ELB实例”创建一个。 配置I
CCI是否支持负载均衡? CCI如何配置DNS服务? CCI是否支持高速IB(Infiniband)网络? 如何从公网访问容器? 如何从容器访问公网? 如何处理公网无法访问负载? 负载访问504问题定位思路 如何解决Connection timed out问题?
命名空间(namespace)是一种在多个用户之间划分资源的方法。适用于用户中存在多个团队或项目的情况。 当前云容器实例提供“通用计算型”和“GPU加速型”两种类型的资源,创建命名空间时需要选择资源类型,后续创建的负载中容器就运行在此类型的集群上。 通用计算型:支持创建含CPU资源的容器实例,适用于通用计算场景。
事件二:重新启动容器失败 负载网络访问 云容器实例通过将Kubernetes网络和华为云VPC深度集成,提供了稳定高性能的容器网络,能够满足多种复杂场景下工作负载间的互相访问。 负载访问可以分为如下几种场景:内网访问、公网访问、从容器访问公网。 支持区域:全部 网络访问概述 内网访问 公网访问 从容器访问公网
阶段 相关文档 1 支持DPDK网络 支持容器实例接入Neutron用户态OVS DPDK网络。 商用 - 2020年3月 序号 功能名称 功能描述 阶段 相关文档 1 鲲鹏容器实例开发公测 支持创建使用华为自研鲲鹏处理器的容器实例及工作负载,适用于云上高性价比的通用计算场景。 商用
绑定的vpc配置SNAT规则,参考从容器访问公网。 镜像仓库访问凭证 如果您容器里选择的镜像是私有的,请输入所选镜像的仓库地址、用户名、密码,用来拉取镜像。单击“添加凭证”,可添加多个。 勾选“镜像快照默认使用 2核4G 规格的CCI实例进行制作,收取费用为制作过程中产生的费用”。
安全 责任共担 身份认证与访问控制 数据保护技术 审计与日志 监控安全风险
常见问题 问题一:用户负载无法调度到CCI,登录CCE节点执行kubectl get node发现virtual-kubelet节点状态为不可调度。 问题原因:CCI资源售罄导致弹性到CCI的资源调度失败,bursting节点会被锁定半小时(状态变为SchedulingDisabled),期间无法调度至CCI。
16.0 漏洞分析结果 CCI服务不受本次漏洞影响,原因如下: CCI当前集群基于Kubernetes 1.15版本,容器网络基于用户VPC,任何用户无法访问节点,也无法拦截kubelet请求。因此节点没有被攻击的风险。 父主题: 漏洞修复公告
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
