检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Docker节点以轮询方式查询,非实时更新。 仅支持统计CCE Turbo集群安全容器(容器运行时为kata)以及普通容器(容器运行时为runc)的流量。 安装插件后默认将不进行流量监控,用户需通过创建MonitorPolicy来配置监控任务进行流量监控,且MonitorPol
CCE是否支持nginx-ingress? nginx-ingress简介 nginx-ingress是比较热门的ingress-controller,作为反向代理将外部流量导入到集群内部,将Kubernetes内部的Service暴露给外部,在Ingress对象中通过域名匹配Service,这样就可以直接通过域名访问到集群内部的服务。
为什么kubectl top命令查看节点内存使用超过100%? 问题现象 从界面上看节点内存使用率并不是很高,但使用kubelet top node查看节点内存使用率已超过100%。 NAME CPU(cores) CPU% MEMORY(bytes)
支持应用型的独享型ELB。 使用HTTP/HTTPS协议:将443端口、80端口分别发布成HTTPS、HTTP协议作为示例,因此参数值为https:443,http:80。 使用TLS协议:将443端口、80端口发布成TLS协议作为示例,因此参数值为tls:443,tls:80。
其中rollout-canary为自定义的Rollout名称。 创建完成后,可通过节点EIP:端口号访问nginx应用,其中端口号在rollout-canary.yaml文件中的Service资源中指定,本例中端口号为31270。 执行版本更新,使用v2版本的镜像更新上面的应用: kubectl
Ingress转发策略优先级说明 在创建ELB Ingress时,CCE会根据Ingress配置中的域名、URL等转发规则,在ELB侧配置相应的转发策略。 为了满足复杂的流量路由需求,CCE集成了ELB的高级转发策略能力,支持URL重定向、重写等高级转发能力,但高级转发策略的排序逻辑与普通的转发策略存在差异。 具体如下:
集群节点如何不暴露到公网? 问题描述: 集群节点如何不暴露到公网? 问题解决: 如果不需要访问集群节点的22端口,可在安全组规则中禁用22端口的访问。 如非必须,集群节点不建议绑定EIP。 如有远程登录集群节点的需求,推荐使用华为云堡垒机服务作为中转连接集群节点。 父主题: 安全加固
通过调整replicas的大小就可以达到给应用手动扩缩容的目的。但是在某些实际场景下,手动调整一是繁琐,二是速度没有那么快,尤其是在应对流量洪峰需要快速弹性时无法做出快速反应。 Kubernetes支持Pod和集群节点的自动弹性伸缩,通过设置弹性伸缩规则,当外部条件(如CPU使
每个Service,kube-proxy都会添加一个iptables规则,这些规则捕获流向Service的ClusterIP和Port的流量,并将这些流量重定向到Service后端的其中之一。默认情况下,iptables模式下的kube-proxy会随机选择一个Service后端。详情请参见iptables代理模式。
oxy。 传输文件总量很大的话,会消耗很多资源,目前proxy分配内存128M,在压测场景下,损耗非常大,最终导致请求失败。 目前压测所有流量都经过Proxy,业务量大就要加大分配资源。 解决方法 传文件涉及大量报文复制,会占用内存,建议把Proxy内存根据实际场景调高后再进行访问和上传。
开启灰度:开启灰度后,集群外部访问流量将按此规则转发至目标服务。 灰度规则:支持按HTTP请求头、按Cookie发布、按比例(灰度服务请求比例0%),请按需选择。 目标服务名称:请选择已有Service或新建Service。页面列表中的查询结果已自动过滤不符合要求的Service。 目标服务访问端口:可选择目标Service的访问端口。
) 漏洞详情 Kubernetes社区在 kube-apiserver 中发现了一个安全问题,该问题允许聚合 API Server将客户端流量重定向到任意 URL,这可能导致客户端执行意外操作以及将客户端的 API 服务器凭据转发给第三方。 表1 漏洞信息 漏洞类型 CVE-ID
kubernetes.io/canary-by-cookie String 基于Cookie的流量切分,当配置的cookie值为always时,请求流量将被分配到灰度服务入口;当配置的cookie值为never时,请求流量将不会分配到灰度服务入口。 以上注解规则会按优先级进行评估,优先级为:canary-by-header
以下示意图可描述灰度发布的大致流程:先切分20%的流量到新版本,若表现正常,逐步增加流量占比,继续测试新版本表现。若新版本一直很稳定,那么将所有流量都切分到新版本,并下线老版本。 切分20%的流量到新版本后,新版本出现异常,则快速将流量切回老版本。 蓝绿发布提供了一种零宕机的部署方式
网类型负载均衡器。 端口配置: 对外协议:TCP。 服务端口:本例中设置为8080,ELB将会使用该端口创建监听器,提供外部流量访问入口。 容器端口:容器中应用启动监听的端口,nginx镜像请设置为80。如需使用其他应用,该容器端口需和应用对外提供的监听端口一致。 图3 创建服务
Ingress中一条转发策略的访问后端目标服务的名称配置 目标服务的访问端口 路由转发策略的访问端口 参数名 取值范围 默认值 是否允许修改 作用范围 spec.rules[].http.paths[].backend.service.port.number 无 无 允许 CCE Standard/CCE
载。 适用于客户端源IP需要保留且对性能要求较高的业务,但是流量仅会转发至容器所在的节点,不会做源地址转换。 访问方式 集群下所有节点的IP+访问端口均可以访问到此服务关联的负载。 只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载。 获取客户端源IP 无法获取到客户端源IP。
Ingress配置高级转发规则 Ingress支持多样化的转发规则,可以根据HTTP请求方法、HTTP请求头、查询字符串、网段、Cookie等请求参数匹配不同的监听器(每个监听器对应一个ELB访问端口),便于灵活地分流业务,合理分配资源。 图1 高级转发规则示意图 前提条件 已创建一个CCE Standard或CCE
器退出,就会产生此错误。 TCP健康检查的机制 ELB节点根据健康检查配置,向后端服务器(IP+健康检查端口)发送TCP SYN报文。 后端服务器收到请求报文后,如果相应的端口已经被正常监听,则会返回SYN+ACK报文。 如果在超时时间内没有收到后端服务器的SYN+ACK报文,则
和安全组策略,无需重新配置关联关系,将故障实例上的业务流量快速迁移到备用实例,实现服务快速恢复。 业务分离管理 可以为服务器实例配置多个分属于同一VPC内不同子网的弹性网卡,特定网卡分别承载云服务器实例的内网、外网、管理网流量。针对子网可独立设置访问安全控制策略与路由策略,弹性网
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
