多租户安全
这样做还可以限制Pod可以消耗的资源量来缓解潜在的拒绝服务风险。在KaaS场景中,您可以使用Quotas来分配集群资源以与租户需要的保持一致。Pod优先级和抢占 当您想为不同的客户提供不同的服务质量(QoS)时,Pod优先级和抢占会很有用。例如,...
弹性伸缩FAQ
k8s.io/cluster-autoscaler/node-template/resource/{资源名}:{资源大小} 示例:k8s.io/cluster-autoscaler/node-template/resource/hugepages-1Gi:2Gi 为什么Pod无法调度到节点自动伸缩组件弹出节点?受底层资源占用计算精度约束,自动...
弹性伸缩FAQ
为什么Pod无法调度到节点自动伸缩组件弹出节点?如何启用或禁用特定DaemonSet的驱逐?HPA的监控数据 current 字段为何显示为 unknown?当HPA的监控数据的 current 字段显示为 unknown 时,表示kube-controller-manager无法访问监控数据源...
启用节点自动伸缩
什么类型的Pod可以阻止CA移除节点?cluster-autoscaler使用了哪些调度策略来判断不可调度Pod能否调度到开启自动伸缩节点池?使用的调度策略如下所示。说明 如果您的业务场景中有自动伸缩需求的Pod依赖的调度策略超出以下策略,请通过 聆听...
K8s内核高可用架构
K8s管控正常,集群可以进行资源变更 master上以deployment作为controller的pod可以顺利迁移 worker节点Pod正常运行 worker节点无状态Pod可以正常迁移 关机后重启,pod能迁移回来 2/3个master节点关机 K8s管控不可用,不能进行资源变更 ...
在Pod中访问外部网络
Pod可以访问公网,也支持访问VPC内资源,包括已有的ECS、SLB等自有资源,RDS、OSS等云服务和自身集群暴露的LoadBalancer。本文介绍如何配置访问来源侧和目的侧,使得Pod可以访问外部网络。配置访问来源侧 配置域名解析 当访问外部网络时,...
在Pod中访问外部网络
Pod可以访问公网,也支持访问VPC内资源,包括已有的ECS、SLB等自有资源,RDS、OSS等云服务和自身集群暴露的LoadBalancer。本文介绍如何配置访问来源侧和目的侧,使得Pod可以访问外部网络。配置访问来源侧 配置域名解析 当访问外部网络时,...
修复漏洞CVE-2020-8557的公告
kubelet的驱逐管理器(eviction manager)中没有包含对Pod中挂载的/etc/hosts 文件的临时存储占用量管理,因此在特定的攻击场景下,一个挂载了/etc/hosts 的Pod可以通过对该文件的大量数据写入占满节点的存储空间,从而造成节点的拒绝访问...
部署网关Pod到指定的节点
若Pod可以容忍指定的污点,表示Pod可以(但不要求)被调度到具有匹配污点的节点上。节点亲和性(nodeAffinity)定义Pod调度时的软需求或者偏好,且在这种偏好不被满足时成功调度该Pod到其他节点。步骤一:添加标签至节点 执行以下命令,...
部署网关Pod到指定的节点
若Pod可以容忍指定的污点,表示Pod可以(但不要求)被调度到具有匹配污点的节点上。节点亲和性(nodeAffinity)定义Pod调度时的软需求或者偏好,且在这种偏好不被满足时成功调度该Pod到其他节点。步骤一:添加标签至节点 执行以下命令,...
使用Host网络
将Pod的网络配置成Host网络后,Pod可以直接访问到Node上Loopback设备,可以在Node节点上监听地址,也可以用于监控Node上其他Pod的网络流量。本文介绍如何使用Host网络。前提条件 您已经成功创建一个Kubernetes集群,参见 创建ACK Pro版集群...
NetworkPolicy 概述
基本原理 NetworkPolicy 会应用在与其相匹配的 PodSelector 的 Pod 上,基于入向(Ingress)或出向(Egress)规则指定允许访问这些 Pod 的源地址或这些 Pod 可以访问的目标地址。Ingress 和 Egress 这两种规则可匹配由 PodSelector 选出的 ...
配置临时存储额度
同时,K8s支持配置每个Pod可以使用的临时存储的预留量(Request)和限制量(Limit),确保分配给Pod的节点上有足够的磁盘资源,防止磁盘资源被过度消耗。预留量(Request):表示为该Pod分配的最小磁盘资源。当调度器(Scheduler)将Pod...
管理容器组(Pod)
Ready Pod可以为请求提供服务,并且应该被添加到对应服务的负载均衡池中。ContainersReady Pod中所有容器都已就绪。PodScheduled Pod已经被调度到某节点。更多信息,请参见 Pod的生命周期。设置容器的CPU和内存资源上下限 应用创建完成后,...
资源调度概述
可用区打散及亲和调度 Pod间亲和与反亲和 Pod间亲和与反亲和基于已经在节点上运行的Pod的标签来约束Pod可以调度到的节点,而不是基于节点上的标签。目前ACS支持可用区(Zone)拓扑域。可用区打散及亲和调度 任务调度 ACS为批量计算的任务...
配置注解
在K8s中,注解可以将元数据附加到...kubectl get pod 可以看到应用Pod的 metadata.annotations 存在 demo-annotation:demo-annotation-value 键值对。相关文档 关于创建或部署应用过程中的其他配置项,请参见 使用默认应用来源创建K8s应用。
设置节点调度状态
将节点标识为不可调度状态,已有的Pod可以继续对外提供服务,但后续新建Pod不会再调度到该节点。选择 更多>节点排水,在弹出框中单击 确定。排空节点上的已有Pod,但由DaemonSet控制的Pod都不会被排空,然后将节点标识为不可调度状态,后续...
管理容器组(Pod)
Ready Pod可以为请求提供服务,并且应该被添加到对应服务的负载均衡池中。ContainersReady Pod中所有容器都已就绪。PodScheduled Pod已经被调度到某节点。更多信息,请参见 Pod的生命周期。查看容器组日志 在 容器组 页面,选择目标容器组...
在边缘场景无缝运行使用InClusterConfig的业务Pod
解决方案 通过边缘节点上的edge-hub非侵入的ACK Edge服务可以解决上述问题,让使用InClusterConfig的业务Pod可以无需修改,直接运行在边缘场景。具体说明如下:在业务Pod无感知状态下,边缘Pod的访问地址(即 KUBERNETES_SERVICE_HOST 和 ...
使用 Gang Scheduling
Pod 可以创建并运行。cat|kubectl apply-f-apiVersion:batch/v1 kind:Job metadata:name:demo-job namespace:test-gang spec:parallelism:3#Pod数量必须大于或者等于 minMember template:spec:containers:name:pi image:perl:5.34.0 ...
存储基础知识
虽然单Pod可以挂载多个数据卷(Volume),但是并不建议给一个Pod挂载过多数据卷。PV和PVC 并非所有的Kubernetes数据卷(Volume)具有持久化特性,为了实现持久化的存储,容器存储需依赖于一个远程存储服务。为此Kubernetes引入了PV和PVC两...
管理命名空间与配额
默认情况下,运行中的Pod可以根据其需求动态分配集群的CPU和内存等计算资源,若无恰当的资源配额管理,单个Pod可能会占用过多资源,从而影响同一集群内其他Pod的正常运行及性能表现。为了确保各Pod间资源使用的合理性和稳定性,推荐为每个...
Kubernetes集群网络规划
说明 这种情况下,Kubernetes集群之间可以互通,一个集群的Pod可以直接访问另外一个集群的Pod和ECS,但不能访问另外一个集群的Service。VPC互联 两个VPC网络互联的情况下,可以通过路由表配置哪些报文要发送到对端VPC里。如下表所示,VPC 1...
使用日志服务
在集群中存在的Pod可以通过原生 kubectl logs<pod-name>访问,默认最多显示2000行日志,若该方式显示的日志数量不够或者需要访问已经删除的Pod,可以通过以下两种方式访问SLS的日志。通过Argo CLI直接访问SLS(推荐)执行以下命令,配置...
ACS Pod实例概述
访问ClusterIP Service:ACS Pod可以访问集群中的clusterIP地址。挂载EIP:支持给ACS Pod挂载EIP,可自动创建或者绑定到已有的EIP实例。日志采集 您可以直接配置Pod的Env收集 stdout 或者文件日志,采集到阿里云日志服务SLS中。您需要部署...
Kubernetes集群网络规划
说明 这种情况下Kubernetes集群部分互通,一个集群的Pod可以直接访问另外一个集群的Pod和ECS,但不能访问另外一个集群的Service。VPC互联 两个VPC网络互联的情况下,可以通过路由表配置哪些报文要发送到对端VPC里。如下表所示,VPC 1使用...
Kubernetes集群网络规划
说明 这种情况下Kubernetes集群部分互通,一个集群的Pod可以直接访问另外一个集群的Pod和ECS,但不能访问另外一个集群的Service。VPC互联 两个VPC网络互联的情况下,可以通过路由表配置哪些报文要发送到对端VPC里。如下表所示,VPC 1使用...
应用服务详情
模块 说明 Pod 可以查看容器服务所包含的 Pod,并使用 web shell 登录进入 Pod 内的容器进行操作。服务 服务名称、服务类型、服务地址、创建时间。日志 日志服务配置信息。如果没有内容,需要为应用服务配置日志采集,具体参考 配置日志。...
用ACS实例运行镜像构建任务
可以通过Pod的标准输出日志看到Pod内执行的命令,如果Pod可以正常结束,这说明环境已经满足了在集群中使用buildah构建镜像的基本能力,可以进一步添加业务逻辑。kind:Pod apiVersion:v1 metadata:name:buildah-demo-pod spec:containers:...
通过虚拟节点将Pod调度到ECI上运行
典型场景包括:有明显波峰波谷的在线业务:例如在线教育、电商等业务的流量通常有明显的波峰波谷,使用ECI Pod可以更快速地应对突发流量,并且能显著减少固定资源池的维护,降低计算成本。非持续运行的计算任务,使用ECI Pod运行计算任务,...
创建出口网关
选中 滚动升级 后,相关配置项说明如下:不可用最大的副本数量:设置滚动升级时不可用的最大副本数量,保障升级时有一定数量的Pod可以提供服务。超过期望的副本数量:设置滚动升级时最多不能超过的副本数量。例如设置为25%,表示滚动升级时...
创建出口网关
选中 滚动升级 后,相关配置项说明如下:不可用最大的副本数量:设置滚动升级时不可用的最大副本数量,保障升级时有一定数量的Pod可以提供服务。超过期望的副本数量:设置滚动升级时最多不能超过的副本数量。例如设置为25%,表示滚动升级时...
Netpila
利用Netpila和网卡能力,Pod可以在灵骏节点上直接进行转发,无需VXLAN等隧道封装技术封装报文。因此,该场景下Pod间的网络通信拥有比默认VXLAN模式更高的通信性能。变更记录 2024年2月 组件名称 版本号 镜像地址 变更时间 变更内容 变更...
基本概念
应用亲和性(podAffinity)应用亲和性决定应用Pod可以和特定Pod部署在同一拓扑域。例如,对于相互通信的服务,可通过应用亲和性调度,将其部署到同一拓扑域(例如同一个主机)中,以减少它们之间的网络延迟。应用反亲和性(podAntiAffinity...
通过命令行管理多集群服务
步骤三:访问多集群服务 在服务消费者集群Cluster 2中的Client Pod可以通过以下两种方式访问服务提供者集群ACK Cluster 1中的Service 1。方式一:通过新的Service名称访问 服务消费者集群ACK Cluster 2创建ServiceImport后,Fleet实例会在...
基于Argo-CD的Gitops最佳实践
PDB(PodDisruptionBudget)可以通过定义 minAvailable 方式来对应用进行最小可用副本数的防护,在ACS上面的应用我们推荐配置PDB来保护一些驱逐场景下应用的最小可用副本数,进而保证应用至少有一些Pod可以持续的对外提供服务。例如,如下...
L7认证与鉴权
charset=utf-8 content-length:1683 server:istio-envoy date:Tue,15 Aug 2023 02:11:30 GMT x-envoy-upstream-service-time:3 预期输出表明sleep Pod可以直接访问productpage,不可以通过网关访问。执行以下命令,清除授权策略。kubectl ...
L7认证与鉴权
charset=utf-8 content-length:1683 server:istio-envoy date:Tue,15 Aug 2023 02:11:30 GMT x-envoy-upstream-service-time:3 预期输出表明sleep Pod可以直接访问productpage,不可以通过网关访问。执行以下命令,清除授权策略。kubectl ...
通过共享GPU调度实现算力分配
步骤三:使用算力分配功能 未使用算力分配功能前,一张GPU卡的总显存为15 GiB,Pod可以100%使用该GPU卡的算力。本文以 同时申请显存和算力 任务为例,申请2 GiB显存、一张GPU卡的30%算力,介绍如何使用GPU显存算力分配功能。使用以下YAML...
Knative结合抢占式实例
重要 ECI会通过Kubernetes Events事件通知的方式告知您抢占式实例将被释放,在此期间,您可以做一定的处理来确保业务不受实例释放所影响。通过 kubectl describe 命令查看Pod详细信息,在返回信息的Events中可以看到预释放事件。示例如下:...
- 产品推荐
- 这些文档可能帮助您