检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
时故障场景下频繁迁移影响业务,容忍时间配置过大可能导致容器在节点故障时长时间无法迁移导致业务受损 容器迁移对节点无法访问状态的容忍时间 当环境出现异常,节点无法访问(如节点网络异常)时,容器将在该容忍时间后自动驱逐,默认为300s。 参数名 取值范围 默认值 是否允许修改 作用范围
runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465) 漏洞详情 业界安全研究人员披露runc符号链接挂载与容器逃逸漏洞(CVE-2021-30465),攻击者可通过创建恶意Pod,利用符号链接以及条件竞争漏洞,可挂载宿主机目录至容器中,最终可能会导致容器逃逸。目前漏洞细节、POC已公开,风险高。
常用的Linux标准中断信号 信号(Signal) 状态码(Value) 动作(Action) 描述(Commit) SIGHUP 1 Term 用户终端连接(正常或非正常)结束时发出 SIGINT 2 Term 程序终止信号,通常由终端发出中断指令,例如键盘输入Ctrl+C SIGQUIT
创建节点弹性策略 CCE的自动伸缩能力是通过节点自动伸缩组件CCE集群弹性引擎实现的,可以按需弹出节点实例,支持多可用区、多实例规格、多种伸缩模式,满足不同的节点伸缩场景。 当节点伸缩中创建的策略和弹性伸缩插件中的配置同时生效时(比如不可调度和指标规则同时满足时),将优先执行不可调度扩容。
WordPress:本例选取wordpress:php7.3 MySQL:本例选取mysql:5.7 在集群内部WordPress访问MySQL,Kubernetes提供一种叫服务(Service)的资源来解决负载的访问问题,本例中会为MySQL和WordPress分别创建一个Service,在后面的章节中您可以看到如何创建和配置。
多可用区,插件实例将调度到单可用区下的不同节点。 强制模式:插件Deployment实例强制调度到不同可用区的节点上,每个可用区下最多运行一个实例。如集群下节点不满足多可用区,插件实例将无法全部运行。节点故障后,插件实例存在无法迁移风险。 节点亲和 不配置:插件实例不指定节点亲和调度。
相对于另外两种容器网络模式,性能存在一定的损耗(约5%-15%)。所以容器隧道网络适用于对性能要求不是特别高的业务场景,比如:Web应用、访问量不大的数据中台、后台服务等。 大规模组网:相比VPC路由网络受限于VPC路由条目配额的限制,容器隧道网络没有网络基础设施的任何限制;同时
停用的内存页面(Retired Pages) 指标名称 指标类型 单位 说明 DCGM_FI_DEV_RETIRED_SBE Gauge - 表示由单bit错误而停用的页面。 DCGM_FI_DEV_RETIRED_DBE Gauge - 表示用双bit错误而停用的页面。 关于DCGM更多指标详情请参见Field
ptions字段实现,如下所示,mountOptions支持挂载的字段请参见极速文件存储挂载参数。 使用kubectl连接集群,详情请参见通过kubectl连接集群。 在PV中设置挂载参数,示例如下: apiVersion: v1 kind: PersistentVolume metadata:
在NVIDIA Container Toolkit v1.16.1及更早版本的环境中,攻击者通过运行一个恶意镜像,可能实现容器逃逸,从而获得主机系统的访问权限。成功利用此漏洞可能会导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 判断方法 如果集群未安装CCE AI套件(NVIDIA GPU)插件或插件版本低于2
存储卷。 约束与限制 如下配置示例适用于Kubernetes 1.13及以下版本的集群。 操作步骤 请参见通过kubectl连接集群,使用kubectl连接集群。 执行如下命令,配置名为“sfs-deployment-example.yaml”的创建Pod的yaml文件。 touch
match the user_id ***... 该问题可能由以下原因引起: 原因一:创建节点池时使用的密钥对被删除。 原因二:用户使用私有密钥对创建节点池,而其他用户无法使用该私有密钥对创建节点,导致节点池扩容失败。 解决方案: 对于原因一引起的扩容失败,您可以创建一个新的密钥对,并使用该密钥对创建新的节点池。
受controller管理的Pod。详情请参见节点排水规则说明。 单击“确定”,等待完成节点排水。 请参见通过kubectl连接集群,使用kubectl连接集群。 编辑Drainage资源的YAML。 Drainage-test.yaml示例如下: apiVersion: node
指标后,用户可根据应用的GPU指标配置弹性伸缩策略,在业务波动时自适应调整应用的副本数量。 前提条件 目标集群已创建,且集群中包含GPU节点,并已运行GPU相关业务。 在集群中安装CCE AI套件(NVIDIA GPU),且插件的metrics API正常工作。您可以登录GPU节点,执行以下命令进行检查:
节点异常立即触发告警 登录集群查看告警节点状态,确认异常后,优先将此节点设置为不可调度,并将业务pod调度到其他节点 节点重启 CCE 节点重启立即触发告警 登录集群查看告警节点状态,并确保节点正常启动可用,关注重启原因 节点kubelet故障 CCE 节点异常立即触发告警 登录集群查看告警
GPU)插件和Volcano调度器插件。 登录CCE控制台,单击集群名称进入集群,在左侧选择“配置中心”。 切换至“异构资源配置”页签,开启“GPU虚拟化”。 集群默认驱动:集群中GPU节点默认使用的GPU驱动版本。如果选择“自定义驱动链接地址”,则需填写Nvidia驱动的下载链接,详情请参见获取驱动链接-公网地址。
给Pod挂载辅助弹性网卡Sub-ENI。 图5 节点网卡 在云原生网络2.0集群中创建工作负载的访问示例如下。 使用kubectl命令行工具连接集群,详情请参见通过kubectl连接集群。 在集群中创建一个Deployment。 创建deployment.yaml文件,文件内容示例如下:
污点(Taint)能够使节点排斥某些特定的Pod,从而避免Pod调度到该节点上。 通过控制台管理节点污点 在CCE控制台上同样可以管理节点的污点,且可以批量操作。 登录CCE控制台,单击集群名称进入集群。 在集群控制台左侧导航栏中选择“节点管理”,切换至“节点”页签,勾选目标节点,并单击左上方“标签与污点管理”。
1-r0及以上 如果您需要通过命令行创建,请使用kubectl连接到集群,详情请参见通过kubectl连接集群。 注意事项 仅使用独享型ELB且选择TCP/UDP/TLS协议时,支持配置区间端口监听。 通过控制台配置 登录CCE控制台,单击集群名称进入集群。 选择左侧导航栏的“服务
节点创建 CCE集群新增节点时的问题与排查方法? CCE集群纳管节点时的常见问题及排查方法? 纳管节点时失败,报错“安装节点失败”如何解决? CCE支持等保三级认证吗? 父主题: 节点
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
