检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Pod、Label和Namespace Pod:Kubernetes中的最小调度对象 存活探针(Liveness Probe) Label:组织Pod的利器 Namespace:资源分组
Pod的编排与调度 无状态负载(Deployment) 有状态负载(StatefulSet) 普通任务(Job)和定时任务(CronJob) 守护进程集(DaemonSet) 亲和与反亲和调度
未开启“系统预置采集”:如果安装云原生插件后暂未在“配置中心”开启“系统预置采集”,则可以在“配置中心”的ServiceMonitor开启npu-exporter数据采集。 已开启“系统预置采集”:如果安装云原生监控插件后已在“配置中心”中开启“系统预置采集”,则需要在“系统预置采
ServiceAccount Token安全性提升说明 发布时间:2022/11/24 Kubernetes 1.21及以上版本的集群中,Pod将不再自动挂载永久Token,默认使用TokenRequest API获得Token,并使用投射卷(Projected Volume)挂载到Pod中。
ServiceAccount Token安全性提升说明 Kubernetes 1.21以前版本的集群中,Pod中获取Token的形式是通过挂载ServiceAccount的Secret来获取Token,这种方式获得的Token是永久的。该方式在1.21及以上的版本中不再推荐使用,并且根据社区版本迭代策略,在1
残留packageversion检查异常处理 检查项内容 检查当前集群中是否存在残留的packageversion。 解决方案 检查提示您的集群中存在残留的CRD资源10.12.1.109,该问题一般由于CCE早期版本节点删除后,对应的CRD资源未被清除导致。 您可以尝试手动执行以下步骤:
群、集群休眠与唤醒、集群监控和集群权限控制等。 集群概述 购买Standard/Turbo集群 连接集群 升级集群 删除集群 集群休眠与唤醒 集群监控 权限管理 CCE Turbo集群 CCE Turbo集群是基于云原生基础设施构建的云原生2.0容器引擎服务,具备软硬协同、网络无
io/subnetid=fd43acad-33e7-48b2-a85a-24833f362e0e os.architecture=amd64 os.name=EulerOS_2.0_SP5
业务检查 检查项内容 集群升级完毕,由用户验证当前集群正在运行的业务是否正常。 检查步骤 业务不同,验证的方式也有所不同,建议您在升级前确认适合您业务的验证方式,并在升级前后均执行一遍。 常见的业务确认方式有: 业务界面可用 监控平台无异常告警与事件 关键应用进程无错误日志 API拨测正常等
会被立即清理。当集群中处于终态(包括Completed和UnexpectedAdmissionError状态)的Pod数量超过1000时,系统将进行集中清理。终态Pod占用的资源已被释放,查询时仅会显示其状态记录,便于后续问题排查和定位。若无需保留此类Pod,可直接手动删除。 父主题:
持久化存储 Volume PV、PVC和StorageClass
RBAC RBAC资源 Kubernetes中完成授权工作的就是RBAC机制,RBAC授权规则是通过四种资源来进行配置。 Role:角色,其实是定义一组对Kubernetes资源(命名空间级别)的访问规则。 RoleBinding:角色绑定,定义了用户和角色的关系。 Cluste
com/fuxinfs (SFS) huawei.com/fuxiobs (OBS) huawei.com/fuxiefs (SFS Turbo) fsType 是 String 文件系统类型,请根据使用的存储类型填写: ext4: EVS云硬盘存储,详情可参见使用云硬盘存储卷。 nfs:SFS弹性文件存储,详情可参见使用文件存储卷。
docker审计日志量过大影响磁盘IO如何解决? 问题描述 部分集群版本的存量节点docker审计日志量较大,由于操作系统内核缺陷,会低概率出现IO卡住。该问题可通过优化审计日志规则,降低问题出现的概率。 影响范围 受影响的集群版本: v1.15.11-r1 v.1.17.9-r0
生命周期管理的服务, 提供简单易用、安全可靠的镜像管理功能,帮助用户快速部署容器化服务。 基本概念 镜像:Docker镜像是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的配置参数(如匿名卷、环境变量、用户等)。镜像不包含任何动态数据,其内容在构建之后也不会被改变。
在NVIDIA Container Toolkit v1.16.1及更早版本的环境中,攻击者通过运行一个恶意镜像,可能实现容器逃逸,从而获得主机系统的访问权限。成功利用此漏洞可能会导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 判断方法 如果集群未安装CCE AI套件(NVIDIA
Secret Secret是一种加密存储的资源对象,您可以将认证信息、证书、私钥等保存在Secret中,而不需要把这些敏感数据暴露到镜像或者Pod定义中,从而更加安全和灵活。 Secret与ConfigMap非常像,都是key-value键值对形式,使用方式也相同,不同的是Sec
idia.com/gpu资源的工作负载。 在工作负载中声明nvidia.com/gpu资源: 若nvidia.com/gpu被设置为小数,系统将通过GPU虚拟化实现显存隔离,并按设定比例分配GPU显存,最终分配给容器的显存量需为128MiB的整数倍,否则自动向下取整。例如,在16GiB的GPU上,nvidia
PVC存储费用:当前只统计云硬盘(EVS)类型存储费用,不支持对象存储类型(OBS)、本地持久卷、文件存储类型(SFS)、极速文件存储(SFS Turbo)。 节点成本按照CPU、内存进行成本拆分,暂不支持GPU、NPU等异构资源的拆分。如GPU类型的节点在拆分时,会出现CPU核时单价偏高。
ConfigMap ConfigMap是一种用于存储应用所需配置信息的资源类型,用于保存配置数据的键值对,可以用来保存单个属性,也可以用来保存配置文件。 通过ConfigMap可以方便地做到配置解耦,使得不同环境有不同的配置。 创建ConfigMap 下面示例创建了一个名为con
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
