检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Standard集群默认使用普通运行时,CCE Turbo集群可以使用普通运行时或安全运行时。具体区别请参见安全运行时与普通运行时。 时区同步:选择是否开启时区同步。开启后容器与节点使用相同时区(时区同步功能依赖容器中挂载的本地磁盘,请勿修改删除),时区同步详细介绍请参见设置时区同步。 容器配置 容器信息
“确认授权”按钮后系统自动完成授权。所授予的权限类型请参考表1。 表1 资源权限 授权类型 权限名称 描述 CCE IAM ReadOnlyAccess 云原生成本治理获得该权限后,支持子用户进行访问云原生成本治理,因此需要获得该权限。 CCE Tenant Guest 云原生成本治理支持对集群关联的
行。 网络配置: Pod入/出口带宽限速:支持为Pod设置入/出口带宽限速,详情请参见为Pod配置QoS。 是否开启指定容器网络配置:仅支持该功能的集群显示该选项,开启指定容器网络配置,工作负载使用指定的容器网络配置中的容器子网跟安全组来创建,详情请参见使用容器网络配置为命名空间/工作负载绑定子网及安全组。
于监控和警报的规则语言,能够方便用户更好的使用Prometheus查询监控指标,配置基于PromQL的告警规则。 当前云原生监控插件仅支持开启本地数据存储时,提供PrometheusRules配置的能力。 如何配置PrometheusRules Prometheus提供了Prom
ty是一个准入控制器,它根据设置实施级别的特定命名空间标签在命名空间中的Pod上实施Pod安全标准。在1.23中PodSecurity默认启用。 社区1.22 ReleaseNotes Ingress资源不再支持networking.k8s.io/v1beta1和extensions/v1beta1
CCE集群弹性引擎插件状态 集群在开启节点池弹性扩缩容条件下,CCE集群弹性引擎插件状态是否可用 否 CCE集群弹性引擎插件为集群提供了弹性扩展能力。在节点池开启弹性扩缩容条件下,该插件状态异常将导致无法进行扩缩容,需前往插件中心,检查插件状态。 说明: CCE集群弹性引擎插件状态检查,是在开启节点池弹性
ty是一个准入控制器,它根据设置实施级别的特定命名空间标签在命名空间中的Pod上实施Pod安全标准。在1.23中PodSecurity默认启用。 社区1.22 ReleaseNotes Ingress资源不再支持networking.k8s.io/v1beta1和extensions/v1beta1
Standard集群默认使用普通运行时,CCE Turbo集群可以使用普通运行时或安全运行时。具体区别请参见安全运行时与普通运行时。 时区同步:选择是否开启时区同步。开启后容器与节点使用相同时区(时区同步功能依赖容器中挂载的本地磁盘,请勿修改删除),时区同步详细介绍请参见设置时区同步。 容器配置 容器信息
出口带宽限速,详情请参见为Pod配置QoS。 是否开启固定IP:仅支持该功能的集群显示该选项,开启后可设置Pod IP的回收时间间隔,详情请参见为Pod配置固定IP。 是否开启指定容器网络配置:仅支持该功能的集群显示该选项,开启指定容器网络配置,工作负载使用指定的容器网络配置中的
Core 内存配额:本例中内存配额限制为2048 MiB 特权容器:如果选择使用单Master部署的Jenkins,必须开启“特权容器”,使容器获得操作宿主机的权限,否则Jenkins Master容器中无法执行docker命令。 其他参数默认。 图1 容器基本信息参数 在“数据存储”页签下,添加持久化存储。
修改。 46 节点挂载检查异常处理 检查节点上默认挂载目录及软链接是否被手动挂载或修改。 47 节点paas用户登录权限检查异常处理 检查paas用户是否有登录权限。 48 ELB IPv4私网地址检查异常处理 检查集群内负载均衡类型的Service所关联的ELB实例是否包含IPv4私网IP。
com/gpu为整数,将使用整卡资源。如果在开启GPU虚拟化前工作负载中已经使用nvidia.com/gpu资源,则不会转成虚拟化GPU,依然使用整卡资源。 开启GPU虚拟化时,在工作负载中设置nvidia.com/gpu等价于开启虚拟化GPU显存隔离,可以和显存隔离模式(即设置volcano
误删除该资源需要使用正确的配置重新创建default-network资源。 启动iptables防火墙 CCE默认不开启iptables防火墙,开启后可能造成网络不通 说明: 不建议开启iptables防火墙。如必须启动iptables防火墙,请在测试环境中确认/etc/sysconfig/
eus基于开源,未做深度定制、未与您的监控系统深度整合,建议您卸载自建Prometheus并直接使用云原生监控插件对您的集群进行监控,无需开启“兼容模式”。 卸载您自建的Prometheus,需要确保删除您自建Prometheus所有的工作负载以及以monitoring.coreos
漏洞CVE-2021-25745:用户有权限可以在创建/更新ingress时,利用‘spec.rules[].http.paths[].path’字段,获取到ingress-controller使用的凭证,这个凭证可以获取集群中所有命名空间的密钥。 2. 漏洞CVE-2021-25746:用户有权限可以在创建/更新ingress时,利用‘
终会由于逐个修改文件权限,而导致挂载时间过长。 问题定位: Securitycontext字段中是否包含runAsuser/fsGroup。securityContext是kubernetes中的字段,即安全上下文,它用于定义Pod或Container的权限和访问控制设置。 启动
是否允许修改 作用范围 runtime-request-timeout 无 2m 允许 CCE Standard/CCE Turbo 是否开启串行拉取镜像 开启开关每次只能拉取一个镜像 参数名 取值范围 默认值 是否允许修改 作用范围 serialize-image-pulls false/true
云原生监控插件升级检查异常处理 检查项内容 在集群升级过程中,云原生监控插件从3.9.0之前的版本升级至3.9.0之后的版本升级时,存在兼容性问题,需检查该插件是否开启了grafana的开关。 解决方案 由于云原生监控插件在3.9.0之后的版本,不再聚合grafana的能力,因此升级前需要重新安装开源版本grafana插件。
逻辑与普通的转发策略存在差异。 具体如下: 未开启ELB高级转发策略时,转发策略根据域名/路径匹配进行排序,详情请参见默认排序。 开启ELB高级转发策略后,请求会按照优先级顺序进行匹配然后转发,详情请参见优先级排序。 默认排序 未开启ELB高级转发策略时,转发策略的默认排序规则如下:
Ingress控制器插件修复该漏洞,请留意NGINX Ingress控制器插件版本发布记录。在修复之前,请按最小权限原则,只给予受信用户创建及管理Ingress的权限。 社区已发布nginx-ingress v1.11.2版本修复该漏洞,但该版本仅支持 Kubernetes >=
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
