检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
图1 获取证书 在弹出的“证书获取”窗口中,根据系统提示选择证书的过期时间并下载集群X509证书。 下载的证书包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。 集群中容器之间互访不需要证书。 使用集群证书调用Kubernetes原生API。
s Service。 有状态负载需要配置一个用于实例间发现的Headless Service,Headless Service会生成每个Pod的集群DNS地址,可以实现对有状态负载某个特定实例的访问,对于多副本具有主副关系的MySQL 数据库,需要使用Headless Servi
在一些场景下,可能需要从同一个VPC内的其他资源(例如ECS实例)直接访问位于不同节点的Pod的原始IP地址。由于默认情况下启用了SNAT,数据包的源IP地址在经过节点时会被替换为节点的IP地址,这会阻碍从这些资源到Pod的直接访问。 要确保VPC内的其他资源能够直接访问Pod,需要将这些资
密钥(Secret)是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源类型,内容由用户决定。 云硬盘存储卷:CCE支持将EVS创建的云硬盘挂载到容器的某一路径下。当容器迁移时,挂载的云硬盘将一同迁移。这种存储方式适用于需要永久化保存的数据。 文件存储卷: CCE支持创
上升到所指定数量。 默认:10 - 允许使用的不安全系统配置 allowed-unsafe-sysctls 允许使用的不安全系统配置。 CCE从1.17.17集群版本开始,kube-apiserver开启了pod安全策略,需要在pod安全策略的allowedUnsafeSysctls中增加相应的配置才能生效(1
使用GPU虚拟化 本文介绍如何使用GPU虚拟化能力实现算力和显存隔离,高效利用GPU设备资源。 前提条件 已完成GPU虚拟化资源准备。 如果您需要通过命令行创建,需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。 约束与限制 单个GPU卡最多虚拟化成20个GPU虚拟设备。
ing.coreos.com/v1/servicemonitors。 配置建议: 创建新的 自定义资源时,Kubernetes API 服务器会为您所指定的每个版本生成一个新的 RESTful 资源路径。 自定义资源名称的单数形式 自定义资源名称的单数形式 参数名 取值范围 默认值
pvc”。 例如,存储卷名称前缀设置为“test”,则实际创建的底层存储名称test-{uid}。 实例类型 并行文件系统:一种对象存储服务提供的高性能文件系统,提供毫秒级别访问时延,以及TB/s级别带宽和百万级别的IOPS。 对象桶:OBS对象存储提供高可靠、高性能、高安全、低
nt的组件,用于采集指标、日志和应用性能数据。对于在ECS、BMS控制台直接购买的主机,您需手动安装ICAgent。对于集群节点,ICAgent会自动安装,您不用手动安装ICAgent。详情请参见安装ICAgent(华为云主机)。 父主题: 监控中心
查看网卡“名称”或者“描述”,如果其中包含当前集群的ID,表示网卡被集群占用。您可以在CCE控制台的集群“总览”页中复制集群ID。 如果需要清理集群内使用的子网网卡,需要提交工单处理。 父主题: 网络指导
由AOM服务收费,具体请参考价格详情。 云原生监控插件在集群中运行需要消耗集群资源,请确保集群资源能够满足插件的安装。具体资源消耗可以前往“插件中心”云原生监控插件安装页面获取。 前提条件 开通监控中心前,用户需要使用具有admin用户组的账户完成对CCE及其依赖服务的委托授权。
密钥数据中上传的证书文件和私钥文件必须是配套的,不然会出现无效的情况。 解决方法 一般情况下,您需要从证书提供商处获取有效的合法证书。如果您需要在测试环境下使用,您可以自建证书和私钥,方法如下: 自建的证书通常只适用于测试场景,使用时界面会提示证书不合法,影响正常访问,建议您选择手动上传合法证书,以便通过浏览器校验,保证连接的安全性。
配置建议:如果Pods在启动后的就绪状态发生波动,并且您需要避免此波动导致HPA的误判,适当增加此值可以使HPA得到更全面的CPU使用数据。 说明: 请合理设置该参数,值设置过低可能会在Pod刚进入就绪状态时,因CPU数据波动导致不恰当的扩容行为;而设置过高则可能导致在需要快速反应时HPA无法立即做出决策。
Seccomp是一种系统调用过滤机制,它能够限制进程能够使用的系统调用,从而减少潜在的攻击面。Linux操作系统提供了数百个系统调用,但并非所有这些调用对于容器化应用都是必需的。通过限制容器可以执行的系统调用,您可以显著降低应用程序受到攻击的风险。 Seccomp的核心原理是拦截所有系统调用,
一个新Pod创建后,Service就能立即选择到它,并会把请求转发给Pod,那问题就来了,通常一个Pod启动是需要时间的,如果Pod还没准备好(可能需要时间来加载配置或数据,或者可能需要执行一个预热程序之类),这时把请求转给Pod的话,Pod也无法处理,造成请求失败。 Kubernete
提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务后,系统将开始记录CCE资源的操作,并为您保存最近7天的操作记录。CTS支持记录的CCE操作请参见云审计服务支持CCE操作列表。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。
mmit插件。 运行中的Pod无法进行在线和离线业务转换,如需转换需要重建Pod。 当节点设置cpu-manager-policy为静态绑核时,不允许将离线Pod设置为Guaranteed的Pod,若需要绑核则需要调整Pod为在线Pod,否则可能会发生离线Pod占用在线Pod的C
新提供源源不断的动力。大量交付实践表明,不仅传统企业,甚至互联网企业都可能在持续集成方面存在研发效率低、工具落后、发布频率低等方面的问题,需要通过持续交付提高效率,降低发布风险。 价值 云容器引擎搭配容器镜像服务提供DevOps持续交付能力,能够基于代码源自动完成代码编译、镜像构
镜像:选择需要签名的镜像。您也可以通过正则表达式匹配多个镜像。 版本:选择镜像版本,若不填或填写**则表示匹配该镜像的所有版本。 签名方式:选择KMS方式。 签名Key:选择一个KMS密钥,该密钥需要与安装插件时的密钥相同。 触发模式: 手动:创建完成签名规则后,需要手动执行规则来对镜像进行签名。
个网段作为扩展网段。 同VPC的非集群内ECS,如果需要和集群互访,访问会做SNAT, Pod源地址是节点IP而非Pod IP。 如果扩展网段没添加过集群节点,那扩展网段的ECS不能访问集群内Pod;扩展网段添加集群节点后,扩展网段的ECS可以访问集群内Pod。 操作步骤 登录V
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
