raven-agent-ds
隧道模式下,集群节点上将配置VXLAN设备、FDB表及路由信息,并构建IPSec加密的VPN隧道,以保证云边容器之间的网络通信。代理模式下,网关节点上将启动代理服务,以保证云边七层服务代理能力,包括云边运维、云边监控等能力。更多信息,请...
数据卷概述
当一个ECI实例中同时运行多个容器时,无法在这些容器之间共享文件。对于上述问题,ECI支持通过数据卷(Volume)的方式来解决。目前ECI支持挂载以下几类数据卷:数据卷类型 说明 OpenAPI 控制台 云盘 云盘是阿里云提供的数据块级别的存储...
挂载EmptyDir数据卷
EmptyDir数据卷是一个空的目录,用于临时存放数据,便于容器之间共享数据。本文介绍如何挂载EmptyDir数据卷。注意事项 EmptyDir为临时存储,当ECI实例删除或重启时,EmptyDir数据卷中保存的数据均会被清空。配置说明(OpenAPI)调用...
容器安全FAQ
为什么容器之间网络不通?如何给Kubernetes集群指定安全组?集群审计功能是否可以取消或者在创建集群后再部署?Kubernetes专有版本集群如何更换证书有效期,以及如何更换各个组件的证书?Pod无法创建,报错详情:no providers available to...
常见问题旧版索引
如何限制容器之间的访问?故障排查 ACK集群异常 容器服务ACK应用故障排查 如何升级集群?排查故障的经典步骤与常见原因 如何通过查看日志排查故障?产品FAQ 授权管理FAQ 集群管理FAQ 节点与节点池FAQ 容器网络FAQ Service FAQ Ingress FAQ ...
容器安全FAQ
为什么容器之间网络不通?如何给Kubernetes集群指定安全组?集群审计功能是否可以取消或者在创建集群后再部署?Kubernetes专有版本集群如何更换证书有效期,以及如何更换各个组件的证书?Pod无法创建,报错详情:no providers available to...
设置容器启动和退出顺序
在某些场景下,一个实例内的多个容器之间可能存在依赖关系,某一容器需要在另一容器启动后再启动,或者某一容器需要在另一容器退出后再退出。例如:istio服务治理场景,需要保证在业务容器产生流量时,istio-proxy容器已经Ready;在业务...
创建ECI实例并挂载NAS数据卷
容器中的数据在磁盘中是临时存放的,会随着容器释放而删除,并且容器之间不支持共享数据。如果您有持久化存储或者共享数据的需求,可以为容器挂载数据卷来管理容器中的数据。本文以NAS文件系统作为数据卷为例,介绍在创建ECI实例时如何挂载...
设置容器启动和退出顺序
在某些场景下,一个实例内的多个容器之间可能存在依赖关系,某一容器需要在另一容器启动后再启动,或者某一容器需要在另一容器退出后再退出。例如:istio服务治理场景,需要保证在业务容器产生流量时,istio-proxy容器已经Ready;在业务...
在Windows容器中使用基于DirectX的GPU加速
相反,GPU资源在ECS实例主机和容器之间动态调度,这表示您可以在主机上运行多个Windows容器,且每个容器都可以使用支持硬件加速的DirectX功能。关于Windows容器中的GPU加速的更多信息,请参见 Windows容器中的GPU加速。验证在Windows工作...
Sidecar Acceleration using eBPF
Sidecar Acceleration using eBPF组件基于eBPF的Sockops技术,可以实现同节点下Sidecar和Sidecar之间、同Pod下业务容器和Sidecar之间的TCP网络通信加速。使用限制 ASM实例版本需为1.10及以上。ACK集群节点内核的版本需为5.10及以上。建议...
搭建高性能网络ACK集群
场景描述 容器的网络协议栈实现方式,导致容器之间的网络性能,相比服务器之间直接通信方式,会有一 定程度的下降。阿里云托管版容器服务ACK集群,支持自研的Terway网络插件,该插件可以有效减少因容器而引入的网络性能下降,可以基本达到...
历史功能发布记录(2023年)
支持服务网格场景下Sidecar加速,即在服务网格Sidecar模式下,业务注入Sidecar之后,您可以通过开启Sidecar Acceleration using eBPF组件来实现同节点下Sidecar和Sidecar之间、同Pod下业务容器和Sidecar之间的TCP网络通信加速。全部 ...
修复漏洞CVE-2020-15257公告
kubectl get pods-A-o json|jq-c '.items[]|select(.spec.hostNetwork=true)|[.metadata.namespace,.metadata.name]' 漏洞描述 containerd和containerd-shim之间采用abstract socket通信,当容器共享了宿主机的网络namespace且容器内部UID...
使用Terway网络插件
同一台ECS内的Pod之间通信,直接通过机器内部的转发;跨ECS的Pod通信,报文通过VPC的弹性网卡直接转发。由于不需要使用VxLAN等隧道技术封装报文,因此Terway模式网络具有较高的通信性能。Terway提供共享ENI多IP模式和独占ENI模式,以下介绍...
网络概述
不需要额外为容器规划Overlay的网段,多个集群容器之间只要设置安全组开放端口就可以互相通信。可以直接把容器挂载到SLB后端,无需在节点上使用NodePort进行转发。NAT网关可以对容器进行SNAT,无需节点上对容器网段进行SNAT:容器访问VPC...
历史功能发布记录(2020年及之前)
本文介绍容器服务ACK 2020年及之前的功能发布的相关动态。背景信息 容器服务ACK支持的Kubernetes(K8s)版本:v1.24、v1.22、v1.20。容器服务ACK支持的操作系统:CentOS 7.9、Alibaba Cloud Linux 3.2104、Alibaba Cloud Linux 2.1903、...
功能发布记录
全部 ACK Edge发布Kubernetes 1.26版本说明 云边通信方案升级 从v1.26起,ACK Edge集群 新增支持云边节点池维度的网络通信,相比于原有方案实现了高可用、弹性伸缩能力,提供云边容器级别监控运维。新方案中由Raven组件负责云边通信,可...
混合网络概述
云上云下网络互联互通 在云原生场景下,云上云下网络互联互通既包括集群计算节点之间的互联互通,也包括容器Pods之间的互联互通。网络互联互通示意如下图所示。实现云上云下网络互联互通的大致步骤流程如下。具体操作,请参见 本地IDC通过...
云边通信组件Raven概述
为了解决上述问题,v1.26.3及以上版本的 ACK Edge集群 提供了Raven组件,以实现云边运维以及容器网络通信。工作原理 以下图为例,列出了典型的云边协同场景。节点池A:云节点池。所有节点在一个VPC内,选择一个主机作为网关节点(图例为...
上云须知
Kubernetes集群内Pod之间进行通信的网络插件选择:Terway或Flannel。Terway:推荐使用。阿里云容器服务自研的网络插件,将阿里云的弹性网卡分配给容器,支持基于Kubernetes标准的NetworkPolicy来定义容器间的访问策略,支持对单个容器做...
产品功能
如何限制容器之间的访问?Ingress组件是什么?其为什么需要SLB?Ingress组件是Kubernetes的一个网络组件,主要提供HTTP层(7层)路由功能,相比TCP(4层)的负载均衡具备非常多的优势。例如,Ingress的路由规则更加灵活,且支持金丝雀、...
使用云边通信Raven组件
通过Label自定义网关节点 Raven组件会通过在网关节点之间构建通道实现跨域通信的目的,默认会在节点池中随机选择一些网关节点,如果您需要指定某些节点作为网关节点,您可以使用以下命令选择:kubectl label node node-xxx raven.openyurt....
Netpila
您可以通过Netpila容器网络组件实现集群内部的容器之间、集群内部与外部之间的网络互通。创建ACK灵骏托管版集群时,集群会默认安装Netpila组件。在ACK灵骏托管版集群中,Netpila为物理机内每个Pod分配独立的辅助私网IP地址,实现Pod网络...
ContainerOS概述
通过阿里云会话管理免密登录:会话管理客户端与云助手服务端、云助手服务端与云助手Agent之间通信时,会通过WSS(Web Socket Secure)协议建立WebSocket长连接。WSS使用SSL(Secure Socket Layer)加密WebSocket长连接,能够保障数据的安全...
kube-flannel-ds
如果云边通信需要使用容器网络Flannel,需要放开云上ECS的安全组默认的VXLAN端口:UDP/8472。变更记录 2022年01月 版本号 镜像地址 变更时间 变更内容 变更影响 v0.13.1.3-6838863-aliyun registry.{reigonID}.aliyuncs....
多租户安全
在需要租户之间严格网络隔离的多租户环境中,需要添加两条规则:拒绝Pod之间通信的默认规则。允许所有Pod查询DNS服务器以进行名称解析。资源配额&限制范围 Quotas用于定义集群中托管的工作负载的限制。使用Quotas,您可以指定Pod可以消耗的...
名词解释
同一个频道内的用户相互之间可进行通信。通信 终端加入频道定义为一个通信,与该终端是否发布、是否订阅、发布数量、订阅数量无关。用户ID(UserID)RTC通过UserID标记一个用户,UserID由业务系统产生,UserID数量是使用RTC服务的用户数。...
拓扑感知调度
为了优化此类作业的执行时间,一种有效办法是将Pod尽量部署在同一个可用区,甚至在同一个机架上,通过减少Pod之间通信的跳数减少Pod间网络通信时延,从而减少作业执行时间。目前Kubernetes原生支持了通过NodeAffinity以及PodAffinity的方式...
通过image-syncer工具迁移容器镜像
在Kubernetes集群迁移场景中,镜像仓库之间进行镜像迁移和同步是基本需求,image-syncer工具可以解决通用的容器镜像批量迁移和镜像同步复制的问题,将已有的容器镜像平滑的迁移到阿里云镜像服务ACR上。本文主要为您介绍如何通过image-...
通过image-syncer工具迁移容器镜像
在Kubernetes集群迁移场景中,镜像仓库之间进行镜像迁移和同步是基本需求,image-syncer工具可以解决通用的容器镜像批量迁移和镜像同步复制的问题,将已有的容器镜像平滑地迁移到阿里云镜像服务ACR上。本文主要为您介绍如何通过image-...
服务运行
Kubernetes通过 服务(Service)这个抽象概念实现Pod之间的相互通信。Service是Kubernetes对应用服务的一层抽象封装,一个Service对应多个具有相同功能的应用(Pod),为外界访问服务提供统一的入口,将请求负载均衡分发到多个Pod上。不同...
Pod异常问题排查
本文目录 类别 内容 诊断流程 诊断流程 常见排查方法 检查Pod的状态 检查Pod的详情 检查Pod的配置 检查Pod的事件 检查Pod的日志 检查Pod的监控 使用终端进入容器 Pod故障诊断 常见问题及解决方案 常见的Pod异常状态及处理方式 Pod OOM异常...
Serverless数据访问概述
Serverless云平台提供的极致弹性能力,为相关基础设施带来巨大的压力和挑战,因此阿里云容器服务联合多个产品,提供以ECI为例的数据访问优化方案。本文介绍Serverless数据访问面临的挑战以及数据访问优化方案。Serverless数据访问面临的...
ACK Edge集群计费说明
计费方式与计费项 云企业网 可选项 用于在跨地域专有网络之间,专有网络与本地数据中心间搭建私网通信通道。更多信息,请参见 什么是云企业网。支持 说明 带宽包支持包年包月。支持带宽包 说明 可参考如下文档,根据需求选择合适的带宽包...
服务网格概述
背景信息 阿里云 服务网格(Service Mesh,简称ASM)提供一个全托管式的服务网格平台,兼容社区Istio开源 服务网格,用于简化服务的治理,包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。服务网格 ASM...
组件概述
容器服务ACK提供多种类型的组件,您可以根据业务需求部署、升级、卸载组件。本文从功能维度列举容器服务ACK管理的集群组件。组件类型 容器服务ACK管理的集群组件类型包括系统组件和可选组件:系统组件:创建ACK集群时,默认安装的组件。可...
CreateContainerGroup-创建一个容器组
调用CreateContainerGroup创建一个ECI实例(即容器组)。接口说明 调用 CreateContainerGroup 创建 ECI 实例时,系统将自动为您创建一个服务关联角色 AliyunServiceRoleForECI,用于访问 ECS、VPC 等相关云服务。更多信息,请参见 弹性容器...
创建安全沙箱应用
例如,对于相互通信的服务,可通过应用亲和性调度,将其部署到同一拓扑域(如同一个主机)中,减少它们之间的网络延迟。根据节点上运行的Pod的标签(Label)来进行调度,支持硬约束和软约束,匹配的表达式有:In,NotIn,Exists,DoesNotExist...
网络安全
使用Terway容器网络时,如果您希望在IP地址或者端口层面控制网络流量,您可以为集群中特定应用配置网络策略。具体操作,请参见 使用网络策略Network Policy 和 Kubernetes Network Policy Recipes。重要 Network Policy只适用于Terway集群...
- 产品推荐
- 这些文档可能帮助您