- 最新动态
- 功能总览
-
服务公告
- 最新公告
- 产品变更公告
- 集群版本公告
-
漏洞公告
- 漏洞修复策略
- NVIDIA Container Toolkit容器逃逸漏洞公告(CVE-2024-0132)
- Linux CUPS服务RCE 漏洞公告(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177)
- NGINX Ingress控制器验证绕过漏洞公告(CVE-2024-7646)
- Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110)
- Linux内核权限提升漏洞公告(CVE-2024-1086)
- OpenSSH远程代码执行漏洞公告(CVE-2024-6387)
- Fluent Bit内存崩溃漏洞公告(CVE-2024-4323)
- runc systemd属性注入漏洞公告(CVE-2024-3154)
- runc漏洞(CVE-2024-21626)对CCE服务的影响说明
- Kubernetes安全漏洞公告(CVE-2022-3172)
- Linux Kernel openvswitch 模块权限提升漏洞预警(CVE-2022-2639)
- nginx-ingress插件安全漏洞预警公告(CVE-2021-25748)
- nginx-ingress插件安全漏洞预警公告(CVE-2021-25745,CVE-2021-25746)
- containerd容器进程权限提升漏洞公告(CVE-2022-24769)
- CRI-O容器运行时引擎任意代码执行漏洞(CVE-2022-0811)
- linux内核导致的容器逃逸漏洞公告(CVE-2022-0492)
- containerd镜像Volume非安全处理漏洞公告(CVE-2022-23648)
- Linux内核整数溢出漏洞(CVE-2022-0185)
- Linux Polkit 权限提升漏洞预警(CVE-2021-4034)
- Kubernetes subpath符号链接交换安全漏洞(CVE-2021- 25741)
- runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465)
- Docker资源管理错误漏洞公告(CVE-2021-21285)
- NVIDIA GPU驱动漏洞公告(CVE-2021-1056)
- Sudo缓冲区错误漏洞公告(CVE-2021-3156)
- Kubernetes安全漏洞公告(CVE-2020-8554)
- Apache containerd安全漏洞公告(CVE-2020-15257)
- Docker Engine输入验证错误漏洞公告(CVE-2020-13401)
- Kubernetes kube-apiserver输入验证错误漏洞公告(CVE-2020-8559)
- Kubernetes kubelet资源管理错误漏洞公告(CVE-2020-8557)
- Kubernetes kubelet和kube-proxy授权问题漏洞公告(CVE-2020-8558)
- 修复Kubernetes HTTP/2漏洞公告
- 修复Linux内核SACK漏洞公告
- 修复Docker操作系统命令注入漏洞公告(CVE-2019-5736)
- 全面修复Kubernetes权限许可和访问控制漏洞公告(CVE-2018-1002105)
- 修复Kubernetes Dashboard安全漏洞公告(CVE-2018-18264)
-
产品发布记录
-
集群版本发布记录
- Kubernetes版本策略
-
Kubernetes版本发布记录
- Kubernetes 1.30版本说明
- Kubernetes 1.29版本说明
- Kubernetes 1.28版本说明
- Kubernetes 1.27版本说明
- Kubernetes 1.25版本说明
- Kubernetes 1.23版本说明
- (停止维护)Kubernetes 1.21版本说明
- (停止维护)Kubernetes 1.19版本说明
- (停止维护)Kubernetes 1.17版本说明
- (停止维护)Kubernetes 1.15版本说明
- (停止维护)Kubernetes 1.13版本说明
- (停止维护)Kubernetes 1.11版本说明
- (停止维护)Kubernetes 1.9及之前版本说明
- 补丁版本发布记录
- 操作系统镜像发布记录
-
插件版本发布记录
- CoreDNS域名解析插件版本发布记录
- CCE容器存储插件(Everest)版本发布记录
- CCE节点故障检测插件版本发布记录
- Kubernetes Dashboard插件版本发布记录
- CCE集群弹性引擎版本发布记录
- NGINX Ingress控制器插件版本发布记录
- Kubernetes Metrics Server插件版本发布记录
- CCE容器弹性引擎插件版本发布记录
- CCE突发弹性引擎(对接CCI)插件版本发布记录
- CCE AI套件(NVIDIA GPU)版本发布记录
- CCE AI套件(Ascend NPU)版本发布记录
- Volcano调度器版本发布记录
- CCE密钥管理(对接 DEW)插件版本发布记录
- CCE容器网络扩展指标插件版本发布记录
- 节点本地域名解析加速插件版本发布记录
- 云原生监控插件版本发布记录
- 云原生日志采集插件版本发布记录
- 容器镜像签名验证插件版本发布记录
- Grafana插件版本发布记录
- OpenKruise插件版本发布记录
- Gatekeeper插件版本发布记录
- 容器垂直弹性引擎版本发布记录
- CCE集群备份恢复插件版本发布记录(停止维护)
- Kubernetes Web终端版本发布记录(停止维护)
- Prometheus插件版本发布记录(停止维护)
-
集群版本发布记录
- 产品介绍
- 计费说明
- Kubernetes基础知识
- 快速入门
-
用户指南
- 高危操作一览
-
集群
- 集群概述
-
集群版本发布说明
-
Kubernetes版本发布记录
- Kubernetes 1.31版本说明
- Kubernetes 1.30版本说明
- Kubernetes 1.29版本说明
- Kubernetes 1.28版本说明
- Kubernetes 1.27版本说明
- Kubernetes 1.25版本说明
- Kubernetes 1.23版本说明
- (停止维护)Kubernetes 1.21版本说明
- (停止维护)Kubernetes 1.19版本说明
- (停止维护)Kubernetes 1.17版本说明
- (停止维护)Kubernetes 1.15版本说明
- (停止维护)Kubernetes 1.13版本说明
- (停止维护)Kubernetes 1.11版本说明
- (停止维护)Kubernetes 1.9及之前版本说明
- 补丁版本发布记录
-
Kubernetes版本发布记录
- 购买集群
- 连接集群
- 管理集群
-
升级集群
- 升级集群的流程和方法
- 升级前须知
- 升级后验证
- 集群跨版本业务迁移
-
升级前检查异常问题排查
- 升级前检查项
- 节点限制检查异常处理
- 升级管控检查异常处理
- 插件检查异常处理
- Helm模板检查异常处理
- Master节点SSH连通性检查异常处理
- 节点池检查异常处理
- 安全组检查异常处理
- 残留待迁移节点检查异常处理
- K8s废弃资源检查异常处理
- 兼容性风险检查异常处理
- 节点上CCE Agent版本检查异常处理
- 节点CPU使用率检查异常处理
- CRD检查异常处理
- 节点磁盘检查异常处理
- 节点DNS检查异常处理
- 节点关键目录文件权限检查异常处理
- 节点Kubelet检查异常处理
- 节点内存检查异常处理
- 节点时钟同步服务器检查异常处理
- 节点OS检查异常处理
- 节点CPU数量检查异常处理
- 节点Python命令检查异常处理
- ASM网格版本检查异常处理
- 节点Ready检查异常处理
- 节点journald检查异常处理
- 节点干扰ContainerdSock检查异常处理
- 内部错误异常处理
- 节点挂载点检查异常处理
- K8s节点污点检查异常处理
- everest插件版本限制检查异常处理
- cce-hpa-controller插件限制检查异常处理
- 增强型CPU管理策略检查异常处理
- 用户节点组件健康检查异常处理
- 控制节点组件健康检查异常处理
- K8s组件内存资源限制检查异常处理
- K8s废弃API检查异常处理
- 节点NetworkManager检查异常处理
- 节点ID文件检查异常处理
- 节点配置一致性检查异常处理
- 节点配置文件检查异常处理
- CoreDNS配置一致性检查异常处理
- 节点Sudo检查异常处理
- 节点关键命令检查异常处理
- 节点sock文件挂载检查异常处理
- HTTPS类型负载均衡证书一致性检查异常处理
- 节点挂载检查异常处理
- 节点paas用户登录权限检查异常处理
- ELB IPv4私网地址检查异常处理
- 检查历史升级记录是否满足升级条件
- 检查集群管理平面网段是否与主干配置一致
- GPU插件检查异常处理
- 节点系统参数检查异常处理
- 残留packageversion检查异常处理
- 节点命令行检查异常处理
- 节点交换区检查异常处理
- NGINX Ingress控制器插件升级检查异常处理
- 云原生监控插件升级检查异常处理
- Containerd Pod重启风险检查异常处理
- GPU插件关键参数检查异常处理
- GPU/NPU Pod重建风险检查异常处理
- ELB监听器访问控制配置项检查异常处理
- Master节点规格检查异常处理
- Master节点子网配额检查异常处理
- 节点运行时检查异常处理
- 节点池运行时检查异常处理
- 检查节点镜像数量异常处理
- OpenKruise插件兼容性检查异常处理
- Secret落盘加密特性兼容性检查异常处理
- Ubuntu内核与GPU驱动兼容性提醒
- 排水任务检查异常处理
- 节点镜像层数量异常检查
- 检查集群是否满足滚动升级条件
- 轮转证书文件数量检查
- Ingress与ELB配置一致性检查
- 集群网络组件的NetworkPolicy开关检查
- 集群与节点池配置管理检查
- Master节点时区检查
- 节点
- 节点池
- 工作负载
- 调度
-
网络
- 网络概述
- 容器网络
-
服务(Service)
- 服务概述
- 集群内访问(ClusterIP)
- 节点访问(NodePort)
-
负载均衡(LoadBalancer)
- 创建负载均衡类型的服务
- 使用Annotation配置负载均衡类型的服务
- 为负载均衡类型的Service配置HTTP/HTTPS协议
- 为负载均衡类型的Service配置服务器名称指示(SNI)
- 为负载均衡类型的Service配置HTTP/2
- 为负载均衡类型的Service配置HTTP/HTTPS头字段
- 为负载均衡类型的Service配置超时时间
- 为负载均衡类型的Service配置TLS
- 为负载均衡类型的Service配置gzip数据压缩
- 为负载均衡类型的Service配置黑名单/白名单访问策略
- 为负载均衡类型的Service指定多个端口配置健康检查
- 为负载均衡类型的Service配置pass-through能力
- 为负载均衡类型的Service配置获取客户端IP
- 为负载均衡类型的Service配置自定义EIP
- 为负载均衡类型的Service配置区间端口监听
- 通过ELB健康检查设置Pod就绪状态
- 健康检查使用UDP协议的安全组规则说明
- DNAT网关(DNAT)
- Headless Service
-
路由(Ingress)
- 路由概述
- ELB Ingress和Nginx Ingress对比
-
ELB Ingress管理
- 通过控制台创建ELB Ingress
- 通过Kubectl命令行创建ELB Ingress
- 用于配置ELB Ingress的注解(Annotations)
-
ELB Ingress高级配置示例
- 为ELB Ingress配置HTTPS证书
- 更新ELB Ingress的HTTPS证书
- 为ELB Ingress配置服务器名称指示(SNI)
- 为ELB Ingress配置多个转发策略
- 为ELB Ingress配置HTTP/2
- 为ELB Ingress配置HTTPS协议的后端服务
- 为ELB Ingress配置GRPC协议的后端服务
- 为ELB Ingress配置超时时间
- 为ELB Ingress配置慢启动持续时间
- 为ELB Ingress配置灰度发布
- 为ELB Ingress配置黑名单/白名单访问策略
- 为ELB Ingress配置多个监听端口
- 为ELB Ingress配置HTTP/HTTPS头字段
- 为ELB Ingress配置gzip数据压缩
- 为ELB Ingress配置URL重定向
- 为ELB Ingress配置Rewrite重写
- 为ELB Ingress配置HTTP重定向到HTTPS
- 为ELB Ingress配置转发规则优先级
- 为ELB Ingress配置自定义Header转发策略
- 为ELB Ingress配置自定义EIP
- 为ELB Ingress配置跨域访问
- 为ELB Ingress配置高级转发规则
- 为ELB Ingress配置高级转发动作
- ELB Ingress转发策略优先级说明
- 多个Ingress使用同一个ELB对外端口的配置说明
- Nginx Ingress管理
- 自建Nginx Ingress迁移到ELB Ingress
- DNS
- 集群网络配置
- 容器如何访问VPC内部网络
- 从容器访问公网
- 存储
- 弹性伸缩
- 云原生观测
- 云原生成本治理
- 命名空间
- 配置项与密钥
- 插件
- 模板(Helm Chart)
- 权限
- 配置中心
- 存储管理-Flexvolume(已弃用)
-
最佳实践
- 容器应用部署上云CheckList
- 容器化改造
- 迁移
- DevOps
- 容灾
- 安全
- 弹性伸缩
- 监控
- 集群
-
网络
- 集群网络地址段规划实践
- 集群网络模型选择及各模型区别
- CCE集群实现访问跨VPC网络通信
- 使用VPC和云专线实现容器与IDC之间的网络通信
- 自建IDC与CCE集群共享域名解析
- 通过负载均衡配置实现会话保持
- 不同场景下容器内获取客户端源IP
- 通过配置容器内核参数增大监听队列长度
- 为负载均衡类型的Service配置pass-through能力
- 从Pod访问集群外部网络
- 通过模板包部署Nginx Ingress Controller
- CoreDNS配置优化实践
- CCE Turbo配置容器网卡动态预热
- 集群通过企业路由器连接对端VPC
- 在VPC网络集群中访问集群外地址时使用Pod IP作为客户端源IP
- 存储
- 容器
- 权限
- 发布
- 批量计算
- API参考
- SDK参考
-
常见问题
- 高频常见问题
- 计费类
- 集群
-
节点
- 节点创建
-
节点运行
- 集群可用但节点状态为“不可用”如何解决?
- CCE集群中的节点无法远程登录,如何排查解决?
- 如何重置CCE集群中节点的密码?
- 如何收集CCE集群中节点的日志?
- 如何解决yum update升级操作系统导致的容器网络不可用问题?
- Node节点vdb盘受损,通过重置节点仍无法恢复节点?
- CCE集群节点中安装kubelet的端口主要有哪些?
- 如何配置Pod使用GPU节点的加速能力?
- 容器使用SCSI类型云硬盘偶现IO卡住如何解决?
- docker审计日志量过大影响磁盘IO如何解决?
- thinpool磁盘空间耗尽导致容器或节点异常时,如何解决?
- CCE节点上监听的端口列表
- GPU节点使用nvidia驱动启动容器排查思路
- CCE节点NTP时间不同步如何解决?
- Containerd节点业务容器标准输出日志写入过快导致节点数据盘使用率过高
- 为什么kubectl top命令查看节点内存使用超过100%?
- CCE节点事件中一直出现“镜像回收失败”告警如何解决?
- 规格配置变更
- 操作系统问题说明
- 节点池
- 工作负载
-
网络管理
-
网络异常问题排查
- 工作负载网络异常时,如何定位排查?
- 集群内部无法使用ELB地址访问负载
- 集群外部访问Ingress异常
- 为什么访问部署的应用时浏览器返回404错误码?
- 为什么容器无法连接互联网?
- VPC的子网无法删除,怎么办?
- 如何修复出现故障的容器网卡?
- 节点无法连接互联网(公网),如何排查定位?
- 如何解决VPC网段与容器网络冲突的问题?
- ELB四层健康检查导致java报错:Connection reset by peer
- Service事件:Have no node to bind,如何排查?
- 为什么登录虚拟机VNC界面会间歇性出现Dead loop on virtual device gw_11cbf51a, fix it urgently?
- 集群节点使用networkpolicy概率性出现panic问题
- 节点远程登录界面(VNC)打印较多source ip_type日志问题
- 使用IE浏览器访问nginx-ingress出现重定向308无法访问
- NGINX Ingress控制器插件升级导致集群内Nginx类型的Ingress路由访问异常
- 负载均衡型Service更新出现错误:Quota exceeded for resources: members_per_pool
- 为ELB Ingress配置了HTTPS证书后访问异常的原因有哪些?
- 网络规划
- 安全加固
- 网络指导
-
网络异常问题排查
-
存储管理
- 如何扩容容器的存储空间?
- CCE支持的存储在持久化和多节点挂载方面的有什么区别?
- 创建CCE节点时可以不添加数据盘吗?
- CCE集群中的EVS存储卷被删除或者过期后是否可以恢复?
- 公网访问CCE部署的服务并上传OBS,为何报错找不到host?
- Pod接口ExtendPathMode: PodUID如何与社区client-go兼容?
- 创建存储卷失败如何解决?
- CCE容器云存储PVC能否感知底层存储故障?
- 通用文件存储(SFS 3.0)在OS中的挂载点修改属组及权限报错
- 无法使用kubectl命令删除PV或PVC
- 删除挂载了云存储的Pod时提示target is busy
- 无法自动创建包周期的云硬盘存储卷
- 命名空间
-
模板插件
- 集群安装nginx-ingress插件失败,一直处于创建中?
- NPD插件版本过低导致进程资源残留问题
- 模板格式不正确,无法删除模板实例?
- CCE是否支持nginx-ingress?
- 插件安装失败,提示The release name is already exist如何解决?
- 创建或升级实例失败,提示rendered manifests contain a resource that already exists
- kube-prometheus-stack插件实例调度失败如何解决?
- 上传模板失败如何解决?
- 如何根据集群规格调整插件配额?
- NGINX Ingress控制器插件处于Unknown状态时卸载残留
- NGINX Ingress控制器插件升级后无法使用TLS v1.0和v1.1
- API&kubectl
- 域名DNS
- 镜像仓库
- 权限
- 相关服务
- 视频帮助
-
更多文档
-
用户指南(阿布扎比区域)
- 产品介绍
- 快速入门
- 高危操作及解决方案
-
集群
- 集群概述
- 购买集群
- 连接集群
-
升级集群
- 升级概述
- 升级前须知
- 原地升级
- 升级后验证
- 集群跨版本业务迁移
-
升级前检查异常问题排查
- 升级前检查项
- 节点限制检查
- 升级管控检查
- 插件检查
- Helm模板检查
- Master节点SSH联通性检查
- 节点池检查
- 安全组检查
- ARM节点限制检查
- 残留待迁移节点检查
- K8s废弃资源检查
- 兼容性风险检查
- 节点CCE Agent版本检查
- 节点CPU使用率检查
- CRD检查
- 节点磁盘检查
- 节点DNS检查
- 节点关键目录文件权限检查
- 节点Kubelet检查
- 节点内存检查
- 节点时钟同步服务器检查
- 节点OS检查
- 节点CPU数量检查
- 节点Python命令检查
- ASM网格版本检查
- 节点Ready检查
- 节点journald检查
- 节点干扰ContainerdSock检查
- 内部错误
- 节点挂载点检查
- K8s节点污点检查
- everest插件版本限制检查
- cce-hpa-controller插件限制检查
- 增强型CPU管理策略检查
- 用户节点组件健康检查
- 控制节点组件健康检查
- K8s组件内存资源限制检查
- K8s废弃API检查
- CCE Turbo集群IPv6能力检查
- 节点NetworkManager检查
- 节点ID文件检查
- 节点配置一致性检查
- 节点配置文件检查
- CoreDNS配置一致性检查
- 节点Sudo检查
- 节点关键命令检查
- 节点sock文件挂载检查
- HTTPS类型负载均衡证书一致性检查
- 节点挂载检查
- 节点paas用户登录权限检查
- ELB IPv4私网地址检查
- 检查历史升级记录是否满足升级条件
- 检查集群管理平面网段是否与主干配置一致
- GPU插件检查
- 节点系统参数检查
- 残留packageversion检查
- 节点命令行检查
- 节点交换区检查
- nginx-ingress插件升级检查
- 管理集群
- 节点
- 节点池
- 工作负载
- 调度
- 网络
- 存储
- 可观测性
- 命名空间
- 配置项与密钥
- 弹性伸缩
- 插件
- 模板(Helm Chart)
- 权限
- 最佳实践
- 常见问题
- API参考(阿布扎比区域)
-
用户指南(巴黎区域)
- 产品介绍
- 产品公告
- Kubernetes基础知识
- 快速入门
- 高危操作及解决方案
-
集群
- 集群概述
- 创建集群
- 连接集群
-
升级集群
- 升级概述
- 升级前须知
- 原地升级
- 升级后验证
- 集群跨版本业务迁移
-
升级前检查异常问题排查
- 升级前检查项
- 节点限制检查
- 升级管控检查
- 插件检查
- Helm模板检查
- Master节点SSH联通性检查
- 节点池检查
- 安全组检查
- ARM节点限制检查
- 残留待迁移节点检查
- K8s废弃资源检查
- 兼容性风险检查
- 节点CCE Agent版本检查
- 节点CPU使用率检查
- CRD检查
- 节点磁盘检查
- 节点DNS检查
- 节点关键目录文件权限检查
- 节点Kubelet检查
- 节点内存检查
- 节点时钟同步服务器检查
- 节点OS检查
- 节点CPU数量检查
- 节点Python命令检查
- ASM网格版本检查
- 节点Ready检查
- 节点journald检查
- 节点干扰ContainerdSock检查
- 内部错误
- 节点挂载点检查
- K8s节点污点检查
- everest插件版本限制检查
- cce-hpa-controller插件限制检查
- 增强型CPU管理策略检查
- 用户节点组件健康检查
- 控制节点组件健康检查
- K8s组件内存资源限制检查
- K8s废弃API检查
- CCE Turbo集群IPv6能力检查
- 节点NetworkManager检查
- 节点ID文件检查
- 节点配置一致性检查
- 节点配置文件检查
- CoreDNS配置一致性检查
- 节点Sudo检查
- 节点关键命令检查
- 节点sock文件挂载检查
- HTTPS类型负载均衡证书一致性检查
- 节点挂载检查
- 节点paas用户登录权限检查
- ELB IPv4私网地址检查
- 检查历史升级记录是否满足升级条件
- 检查集群管理平面网段是否与主干配置一致
- GPU插件检查
- 节点系统参数检查
- 残留packageversion检查
- 节点命令行检查
- 节点交换区检查
- nginx-ingress插件升级检查
- 管理集群
- 节点
- 节点池
- 工作负载
- 调度
- 网络
- 存储
- 可观测性
- 命名空间
- 配置项与密钥
- 弹性伸缩
- 插件
- 模板(Helm Chart)
- 权限
- 常见问题
- 最佳实践
- 将老版本的数据迁移到最新版本
- API参考 (巴黎区域)
-
用户指南(吉隆坡区域)
- 产品介绍
- 控制台风格升级说明
- 快速入门
- 高危操作一览
-
集群
- 集群概述
- 购买集群
- 连接集群
- 管理集群
-
升级集群
- 升级集群的流程和方法
- 升级前须知
- 升级后验证
- 集群跨版本业务迁移
-
升级前检查异常问题排查
- 升级前检查项
- 节点限制检查异常处理
- 升级管控检查异常处理
- 插件检查异常处理
- Helm模板检查异常处理
- Master节点SSH联通性检查异常处理
- 节点池检查异常处理
- 安全组检查异常处理
- ARM节点限制检查异常处理
- 残留待迁移节点检查异常处理
- K8s废弃资源检查异常处理
- 兼容性风险检查异常处理
- 节点CCE Agent版本检查异常处理
- 节点CPU使用率检查异常处理
- CRD检查异常处理
- 节点磁盘检查异常处理
- 节点DNS检查异常处理
- 节点关键目录文件权限检查异常处理
- 节点Kubelet检查异常处理
- 节点内存检查异常处理
- 节点时钟同步服务器检查异常处理
- 节点OS检查异常处理
- 节点CPU数量检查异常处理
- 节点Python命令检查异常处理
- ASM网格版本检查异常处理
- 节点Ready检查异常处理
- 节点journald检查异常处理
- 节点干扰ContainerdSock检查异常处理
- 内部错误异常处理
- 节点挂载点检查异常处理
- K8s节点污点检查异常处理
- everest插件版本限制检查异常处理
- cce-hpa-controller插件限制检查异常处理
- 增强型CPU管理策略检查异常处理
- 用户节点组件健康检查异常处理
- 控制节点组件健康检查异常处理
- K8s组件内存资源限制检查异常处理
- K8s废弃API检查异常处理
- 节点NetworkManager检查异常处理
- 节点ID文件检查异常处理
- 节点配置一致性检查异常处理
- 节点配置文件检查异常处理
- CoreDNS配置一致性检查异常处理
- 节点Sudo检查异常处理
- 节点关键命令检查异常处理
- 节点sock文件挂载检查异常处理
- HTTPS类型负载均衡证书一致性检查异常处理
- 节点挂载检查异常处理
- 节点paas用户登录权限检查异常处理
- ELB IPv4私网地址检查异常处理
- 检查历史升级记录是否满足升级条件
- 检查集群管理平面网段是否与主干配置一致
- GPU插件检查异常处理
- 节点系统参数检查异常处理
- 残留packageversion检查异常处理
- 节点命令行检查异常处理
- 节点交换区检查异常处理
- nginx-ingress插件升级检查异常处理
- 云原生监控插件升级检查异常处理
- Containerd Pod重启风险检查异常处理
- GPU插件关键参数检查异常处理
- GPU/NPU Pod重建风险检查异常处理
- ELB监听器访问控制配置项检查异常处理
- Master节点规格检查异常处理
- Master节点子网配额检查异常处理
- 节点运行时检查异常处理
- 节点池运行时检查异常处理
- 检查节点镜像数量异常处理
- 节点
- 节点池
- 工作负载
- 调度
- 网络
- 存储
- 可观测性
- 弹性伸缩
- 命名空间
- 配置项与密钥
- 插件
- 模板(Helm Chart)
- 权限
- 最佳实践
- 常见问题
- API参考(吉隆坡区域)
-
用户指南(安卡拉区域)
- 产品介绍
- 产品公告
- 快速入门
- 高危操作及解决方案
-
集群
- 集群概述
- 创建集群
- 连接集群
-
升级集群
- 升级概述
- 升级前须知
- 升级后验证
- 集群跨版本业务迁移
-
升级前检查异常问题排查
- 升级前检查项
- 节点限制检查
- 升级管控检查
- 插件检查
- Helm模板检查
- Master节点SSH连通性检查异常处理
- 节点池检查
- 安全组检查
- ARM节点限制检查
- 残留待迁移节点检查
- K8s废弃资源检查
- 兼容性风险检查
- 节点CCE Agent版本检查
- 节点CPU使用率检查
- CRD检查
- 节点磁盘检查
- 节点DNS检查
- 节点关键目录文件权限检查
- 节点Kubelet检查
- 节点内存检查
- 节点时钟同步服务器检查
- 节点OS检查
- 节点CPU数量检查异常处理
- 节点Python命令检查
- ASM网格版本检查
- 节点Ready检查
- 节点journald检查
- 节点干扰ContainerdSock检查
- 内部错误异常处理
- 节点挂载点检查
- K8s节点污点检查
- everest插件版本限制检查
- cce-hpa-controller插件限制检查异常处理
- 增强型CPU管理策略检查
- 用户节点组件健康检查异常处理
- 控制节点组件健康检查异常处理
- K8s组件内存资源限制检查
- K8s废弃API检查
- 节点NetworkManager检查
- 节点ID文件检查
- 节点配置一致性检查
- 节点配置文件检查
- CoreDNS配置一致性检查
- 节点Sudo检查
- 节点关键命令检查
- 节点sock文件挂载检查
- HTTPS类型负载均衡证书一致性检查
- 节点挂载检查
- 节点paas用户登录权限检查
- ELB IPv4私网地址检查
- 检查历史升级记录是否满足升级条件
- 检查集群管理平面网段是否与主干配置一致
- GPU插件检查
- 节点系统参数检查异常处理
- 残留packageversion检查
- 节点命令行检查
- 节点交换区检查异常处理
- nginx-ingress插件升级检查
- 云原生监控插件升级检查异常处理
- Containerd Pod重启风险检查异常处理
- GPU插件关键参数检查异常处理
- GPU/NPU Pod重建风险检查异常处理
- ELB监听器访问控制配置项检查异常处理
- Master节点规格检查异常处理
- Master节点子网配额检查异常处理
- 节点运行时检查异常处理
- 节点池运行时检查异常处理
- 检查节点镜像数量异常处理
- 管理集群
- 节点
- 节点池
- 工作负载
- 调度
- 网络
- 存储
- 可观测性
- 命名空间
- 配置项与密钥
- 弹性伸缩
- 插件
- 模板(Helm Chart)
- 权限
- 常见问题
- 最佳实践
- API参考(安卡拉区域)
-
用户指南(阿布扎比区域)
- 通用参考
链接复制成功!
创建节点
前提条件
- 已创建至少一个集群。
- 您需要新建一个密钥对,用于远程登录节点时的身份认证。
若使用密码登录节点,请跳过此操作。创建方法请参见创建密钥对。
约束与限制
- 创建节点过程中依赖OBS等周边服务,因此节点所在子网的DNS配置不可修改。
- 集群开启IPv4/IPv6双栈时,所选节点子网不允许开启DHCP无限租约。
注意事项
- 为了保证节点的稳定性,CCE集群节点上会根据节点的规格预留一部分资源给Kubernetes的相关组件(kubelet、kube-proxy以及docker等)和Kubernetes系统资源,使该节点可作为您的集群的一部分。 因此,您的节点资源总量与节点在Kubernetes中的可分配资源之间会存在差异。节点的规格越大,在节点上部署的容器可能会越多,所以Kubernetes自身需预留更多的资源,详情请参见节点预留资源策略说明。
- 节点的网络(如虚机网络、容器网络等)均被CCE接管,请勿自行添加删除网卡、修改路由和IP地址。若自行修改可能导致服务不可用。例如,节点上名为的gw_11cbf51a@eth0网卡为容器网络网关,不可修改。
- 集群中通过“按需计费”模式购买的节点,在CCE“节点管理”中进行删除操作后将会直接被删除;通过“包年/包月”模式购买的节点不能直接删除,请在右上角单击“费用”,选择“订单管理 > 退订与退换货”执行资源退订操作。
操作步骤
集群创建完成后,您可以在集群中创建节点。
- 登录CCE控制台。
- 在左侧导航栏中选择“集群管理”,单击要创建节点的集群进入集群控制台。
- 在集群控制台左侧导航栏中选择“节点管理”,切换至“节点”页签并单击右上角的“创建节点”,在节点配置步骤中参照如下表格设置节点参数。
节点配置:
配置节点云服务器的规格与操作系统,为节点上的容器应用提供基本运行环境。表1 节点配置参数 参数
参数说明
计费模式
支持以下计费方式:- 包年包月
- 按需计费
- 竞价计费
竞价计费是后付费模式,相对于按需计费模式,以更低的折扣按实际使用时长计费。详情请参见竞价计费型实例。
说明:
- 如果创建竞价实例时同时购买了数据盘和弹性公网IP,数据盘和弹性公网IP会在竞价实例释放时随实例释放。如果给已经创建完成的竞价实例挂载数据盘和弹性公网IP,则需要在删除竞价实例后自行释放这些资源。
- 竞价实例不支持重置、纳管、移除、迁移、转包周期、集群重置升级。如果要对集群进行重置升级,需要先删除竞价节点,将竞价节点池实例数设为0。
- ECS可能会因为用户报价小于市场价、资源不足等原因主动释放竞价实例。建议在集群中安装最新版本的npd插件,npd插件会在竞价实例被ECS释放前5分钟收到通知,产生ReceivedReclaimNodeNotification事件,并给节点加污点node-problem-controller.cce.io/SpotPriceNodeReclaimNotification: NoExecute,驱逐节点上的Pod,使Pod能在节点被删除前迁移到其他节点。
可用区
节点云服务器所在的可用区,集群下节点创建在不同可用区下可以提高可靠性。创建后不可修改。
建议您选择“随机分配”,可根据选择的节点规格随机分配一个可以使用的可用区。
可用区是在同一区域下,电力、网络隔离的物理区域,可用区之间内网互通,不同可用区之间物理隔离。如果您需要提高工作负载的高可靠性,建议您将云服务器创建在不同的可用区。
节点类型
请根据不同的业务诉求选择节点类型,“节点规格”列表中将自动为您筛选该类型下可部署容器服务的规格,供您进一步选择。
CCE Standard集群支持以下类型:- 弹性云服务器-虚拟机:使用虚拟化技术的弹性云服务器作为集群节点。
- 弹性云服务器-物理机:使用擎天架构的裸金属服务器作为集群节点。
- 裸金属服务器:使用传统裸金属服务器作为集群节点。选择数据盘时支持使用裸金属服务器自带的本地盘。
CCE Turbo集群支持以下类型:- 弹性云服务器-虚拟机:使用虚拟化的弹性云服务器作为集群节点。CCE Turbo集群仅支持可添加多张弹性网卡的机型,请根据控制台页面展示规格进行选择。
- 弹性云服务器-物理机:使用擎天架构的裸金属服务器作为集群节点。
节点规格
请根据业务需求选择相应的节点规格,节点规格要求CPU为2核及以上、内存为4GiB及以上。
不同的可用区可选择的节点规格类型可能不同,请根据实际情况选择。
说明:
CCE集群支持添加鲲鹏(ARM)节点,请以创建节点页面实际展示规格为准。
容器引擎
CCE支持Docker和Containerd容器引擎,不同的集群类型、集群版本、操作系统可能导致支持的容器引擎类型不同,请根据控制台呈现进行选择。具体场景请参见节点操作系统与容器引擎对应关系。
操作系统
选择操作系统类型,不同类型节点支持的操作系统有所不同。- 公共镜像:请选择节点对应的操作系统。
- 私有镜像:支持使用私有镜像,私有镜像制作方法具体请参见制作CCE节点自定义镜像。
说明:
由于业务容器运行时共享节点的内核及底层调用,为保证兼容性,建议节点的操作系统选择与最终业务容器镜像相同或接近的Linux发行版本。
节点名称
节点云服务器使用的名称,批量创建时将作为云服务器名称的前缀。
系统会默认生成名称,支持修改。
节点名称长度范围为1-56个字符,以小写字母开头,支持小写字母、数字、中划线(-)、点(.),不能以中划线(-)或点(.)结尾,点(.)前后必须为小写字母或数字。
企业项目
该参数仅对开通企业项目的企业客户账号显示,且集群版本要求v1.21.15-r0、v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上。
选择某个企业项目后,节点将会创建在该企业项目下。您可以通过企业项目服务(EPS)管理集群及其他资源(节点、ELB、以及节点的安全组等)。了解更多企业项目相关信息,请查看企业管理。
登录方式
- 密码
用户名默认为“root”,请输入登录节点的密码,并确认密码。
登录节点时需要使用该密码,请妥善管理密码,系统无法获取您设置的密码内容。
- 密钥对
选择用于登录本节点的密钥对,支持选择共享密钥。
密钥对用于远程登录节点时的身份认证。若没有密钥对,可单击选项框右侧的“创建密钥对”来新建,创建密钥对操作步骤请参见创建密钥对。
- 使用镜像密码(当节点类型为弹性云服务器虚拟机或物理机,且操作系统选择私有镜像时支持)
保留所选择镜像的密码。为了保证您的正常使用,请确保所选择镜像中已经设置了密码。
存储配置:
配置节点云服务器上的存储资源,方便节点上的容器软件与容器应用使用。请根据实际场景设置磁盘类型及大小。关于云硬盘类型的详细介绍请参见磁盘类型及性能介绍。表2 存储配置参数 参数
参数说明
系统盘
节点云服务器使用的系统盘,供操作系统使用。您可以设置系统盘的规格为40GiB-1024GiB之间的数值,缺省值为50GiB。
说明:
通用型SSD V2支持自定义设置IOPS和吞吐量,设置范围参见云硬盘性能数据表。仅v1.21.15-r0、v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群中支持选择使用通用型SSD V2类型的云硬盘。
系统盘加密:系统盘加密功能可为您的数据提供强大的安全防护,加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。仅“弹性云服务器-虚拟机”类型支持系统盘加密,且仅部分Region支持此选项,具体请以界面为准。- 默认不加密。
- 选择“加密-从密钥中选择”后,可选择已有的密钥,若没有可选的密钥,请单击后方的链接创建新密钥,完成创建后单击刷新按钮。
- 选择“加密-输入KMS密钥ID”后,您需要输入的KMS密钥ID(包含他人共享的KMS密钥),且该密钥必须位于当前Region下。
系统组件存储
选择系统组件的存储位置:
- 数据盘:必须添加一块默认数据盘,供容器运行时和Kubelet组件使用,您可以自行设置数据盘的规格为20GiB-32768GiB之间的数值,缺省值为100GiB。该数据盘不能被删除卸载,否则会导致节点不可用。
- 系统盘:CCE将下载的镜像、容器的临时存储、容器的stdout标准输出日志等资源都存储在系统盘中,过多占用系统盘可能影响节点运行稳定性。
说明:
v1.23.18-r0、v1.25.13-r0、v1.27.10-r0、v1.28.8-r0、v1.29.4-r0及以上版本的集群中支持选择系统组件的存储位置,且配套使用CCE节点故障检测插件时需安装1.19.2及以上版本的插件。
数据盘
- 如果“系统组件存储”选择“数据盘”,至少需要添加一块默认数据盘,供容器运行时和Kubelet组件使用,该数据盘不能被删除卸载,否则会导致节点不可用。v1.23.18-r0、v1.25.13-r0、v1.27.10-r0、v1.28.8-r0、v1.29.4-r0以下版本的集群支持。
- 默认数据盘:供容器运行时和Kubelet组件使用。您可以自行设置数据盘的规格为20GiB-32768GiB之间的数值,缺省值为100GiB。
- 其他普通数据盘,您可以设置数据盘的规格为10GiB-32768GiB之间的数值,缺省值为100GiB。
- 如果“系统组件存储”选择“系统盘”,则可以不添加默认数据盘。所有数据盘均为普通数据盘,您可以设置数据盘的规格为10GiB-32768GiB之间的数值,缺省值为100GiB。v1.23.18-r0、v1.25.13-r0、v1.27.10-r0、v1.28.8-r0、v1.29.4-r0及以上版本的集群支持。
说明:
- 节点规格为“磁盘增强型”或“超高I/O型”时,有一块数据盘可以是本地盘。
- 本地磁盘实例有宕机风险,不保证数据可靠性,建议您使用云硬盘存储您的业务数据。
- 通用型SSD V2支持自定义设置IOPS和吞吐量,设置范围参见云硬盘性能数据表。仅v1.21.15-r0、v1.23.14-r0、v1.25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群中支持选择使用通用型SSD V2类型的云硬盘。
高级配置
单击后方的“展开高级配置”可进行如下设置。
- 数据盘空间分配:对数据盘上存在的容器引擎、镜像、临时存储等进行空间划分,避免因磁盘空间不足导致业务异常。数据盘空间分配详细说明请参见默认数据盘空间分配说明。
- 数据盘加密:数据盘加密功能可为您的数据提供强大的安全防护,加密磁盘生成的快照及通过这些快照创建的磁盘将自动继承加密功能。“裸金属服务器”类型节点不支持数据盘加密,且仅部分Region支持此选项,具体请以界面为准。
- 默认不加密。
- 选择“加密-从密钥中选择”后,可选择已有的密钥,若没有可选的密钥,请单击后方的链接创建新密钥,完成创建后单击刷新按钮。
- 选择“加密-输入KMS密钥ID”后,您需要输入的KMS密钥ID(包含他人共享的KMS密钥),且该密钥必须位于当前Region下。
增加数据盘
弹性云服务器最多可以添加16块,裸金属服务器最多可以添加10块。默认情况直接创建为裸盘,不做任何处理。您也可以展开高级配置,选择如下配置。
- 默认:默认情况直接创建为裸盘,不做任何处理。
- 挂载到指定目录:将数据盘挂载到指定目录。
- 作为持久存储卷:适用于对PV有性能要求的场景。持久存储卷的节点会添加上node.kubernetes.io/local-storage-persistent标签,取值为linear或striped。
- 作为临时存储卷:适用于对EmptyDir有性能要求的场景。
- 线性(linear):线性逻辑卷是将一个或多个物理卷整合为一个逻辑卷,实际写入数据时会先往一个基本物理卷上写入,当存储空间占满时再往另一个基本物理卷写入。
- 条带化(striped):创建逻辑卷时指定条带化,当实际写入数据时会将连续数据分成大小相同的块,然后依次存储在多个物理卷上,实现数据的并发读写从而提高读写性能。条带化模式的存储池不支持扩容。多块存储卷才能选择条带化。
说明:
- 本地持久卷仅在集群版本 >= v1.21.2-r0 时支持,且需要everest插件版本>=2.1.23,推荐使用>=2.1.23版本。
- 本地临时卷仅在集群版本 >= v1.21.2-r0 时支持,且需要everest插件版本>=1.2.29。
网络配置:
配置节点云服务器的网络资源,用于访问节点和容器应用。表3 网络配置参数 参数
参数说明
虚拟私有云/节点子网
节点子网默认使用创建集群时的子网配置,也可以选择其他子网。
节点IP
支持指定节点IP地址。默认随机分配。
弹性公网IP
未绑定弹性公网IP的云服务器无法直接访问外网,无法直接对外进行互相通信。
默认为“暂不使用”。支持“使用已有”和“自动创建”。
高级配置:
节点能力增强,可在此配置节点的标签、污点、启动命令等功能。表4 高级配置参数 参数
参数说明
资源标签
通过为资源添加标签,可以对资源进行自定义标记,实现资源的分类。最多可以添加8条资源标签。
您可以在TMS中创建“预定义标签”,预定义标签对所有支持标签功能的服务资源可见,通过使用预定义标签可以提升标签创建和迁移效率。具体请参见创建预定义标签。
CCE服务会自动帮您创建CCE-Dynamic-Provisioning-Node=节点id的标签。
K8S标签(Labels)
设置附加到Kubernetes对象(比如Pod)上的键值对,填写键值对后,单击“确认添加”。最多可以添加20条标签。
使用该标签可区分不同节点,可结合工作负载的亲和能力实现容器Pod调度到指定节点的功能。详细请参见Labels and Selectors。
K8S污点(Taints)
默认为空。支持给节点加污点来设置反亲和性,每个节点最多配置20条污点,每条污点包含以下3个参数:- Key:必须以字母或数字开头,可以包含字母、数字、连字符、下划线和点,最长63个字符;另外可以使用DNS子域作为前缀。
- Value:必须以字符或数字开头,可以包含字母、数字、连字符、下划线和点,最长63个字符。
- Effect:只可选NoSchedule,PreferNoSchedule或NoExecute。
污点的使用请参见管理节点污点。
说明:
对于1.19及以下版本集群,有可能会出现污点打上之前负载已经调度到节点上,如果需要避免这种情况,请选择1.19及以上集群。
最大实例数
节点最大可以正常运行的实例数(Pod),该数量包含系统默认实例,取值范围为16~256。
该设置的目的为防止节点因管理过多实例而负载过重,请根据您的业务需要进行设置。
节点最多能创建多少个Pod还受其他因素影响,具体请参见节点可创建的最大Pod数量说明。
云服务器组
云服务器组是对云服务器的一种逻辑划分,同一云服务器组中的云服务器遵从同一策略。
反亲和性策略:同一云服务器组中的云服务器分散地创建在不同主机上,提高业务的可靠性。
选择已创建的云服务器组,或单击“新建云服务器组”创建,创建完成后单击刷新按钮。
安装前执行脚本
请输入脚本命令,命令中不能包含中文字符。脚本命令会进行Base64转码。
脚本将在Kubernetes软件安装前执行,可能导致Kubernetes软件无法正常安装,需谨慎使用。
安装后执行脚本
请输入脚本命令,命令中不能包含中文字符。脚本命令会进行Base64转码。
脚本将在Kubernetes软件安装后执行,不影响Kubernetes软件安装。
说明:
请不要在安装后执行脚本中使用reboot命令立即重启,如果需要重启,可以使用shutdown -r 1命令延迟1分钟重启。
委托
委托是由租户管理员在统一身份认证服务上创建的。通过委托,可以将云主机资源共享给其他账号,或委托更专业的人或团队来代为管理。
如果没有委托请单击右侧“新建委托”创建。
K8s节点名称
K8s节点名称,即节点YAML文件中的“metadata.labels.kubernetes.io/hostname”标签值,支持以下两种配置。- 与节点私有IP保持一致:默认为节点私有IP。
- 与云服务器名称保持一致:将节点配置中配置的自定义云服务器名称作为K8s节点名称。由于云服务器名称可能存在重名,为避免K8s节点名称冲突,系统将在名称后自动添加五位随机字符后缀。
须知:
- 该功能在集群版本为v1.23.4-r0及以上时支持配置。
- 仅支持在创建(纳管)时将节点云服务器名称指定为K8s节点名称。创建(纳管)完成后,K8s节点名称无法修改,详情请参见云服务器名称、节点名称与K8s节点名称说明。
- 如您在创建(纳管)选择将云服务器名称指定为K8s节点名称, 集群已有节点将仍使用私有IP作为K8s节点名称。
该场景下,存在部分K8s节点名称与私有IP不一致的情况,对于业务场景中将私有IP和K8s节点名称混用的场景,需做好适配。例如,在设置节点亲和调度时,不能将节点私有IP作为节点名称配置调度策略。
如您需要将已有节点的K8s节点名称统一为“与云服务器名称保持一致”,您可将已有节点从集群中移除,并重新纳管。执行节点移除、纳管操作前,请您充分了解节点移除及纳管可能带来的业务影响。
- 完成以上配置后,您可以设置需要购买的节点数量,并单击“下一步:规格确认”,确认所设置的服务选型参数、规格和费用等信息,且确认已阅读并知晓华为云的镜像免责声明。
- 单击“提交”,节点开始创建。
若选择购买“包年包月”的节点,请单击“去支付”,根据界面提示进行付款操作。
系统将自动跳转到节点列表页面,待节点状态为“运行中”,表示节点添加成功。添加节点预计需要6-10分钟左右,请耐心等待。
- 单击“返回节点列表”,待状态为运行中,表示节点创建成功。
云服务器名称、节点名称与K8s节点名称说明
- 云服务器名称:ECS页面的云服务器名称,创建节点时支持自定义云服务器名称。
- 节点名称:CCE页面的节点名称,可与ECS页面的云服务器名称同步。但在指定K8s节点名称后,ECS云服务器名称的修改将无法被同步至节点名称。
- K8s节点名称:即节点YAML文件中的“metadata.labels.kubernetes.io/hostname”标签值。仅支持在创建(纳管)时将节点云服务器名称指定为K8s节点名称。创建(纳管)完成后,K8s节点名称无法修改。
云服务器名称、节点名称与K8s节点名称之间的同步关系如图1所示。