通过使用kubectl连接网格控制面获取kubeconofig的证书内容。 登录云容器引擎控制面，单击选择任意集群，进入详情页。 建议选择网格对应的VPC下的集群。若连接其他VPC下的集群，则需要参考U CS 服务网格 集群连通方法打通集群所在VPC和网格对应VPC。 在左侧导航栏，单击“配置与密钥”，单击“密钥”页签，显示集群的密钥信息。

查看更多 →

云服务的子网和vpc的映射关系，具体请参见Namespace和Network。 调用方法 请参见如何调用API。 URI POST /api/v1/namespaces 表1 Query参数 参数 是否必选 参数类型 描述 dryRun 否 String When present

查看更多 →

删除Namespace 功能介绍 删除一个Namespace。 调用方法 请参见如何调用API。 URI DELETE /api/v1/namespaces/{name} 表1 路径参数 参数 是否必选 参数类型 描述 name 是 String name of the Namespace

查看更多 →

er工作负载。 图3 重新部署custom-metrics-apiserver 重启后，可以通过以下指令查看对应的Pod的指标是否正常（注意替换命名空间和业务Pod名）。 # 查询指标 $ kubectl get --raw "/apis/custom.metrics.k8s.io/v1beta1"

查看更多 →

info("start to create namespace {}", NAMESPACE); api.createNamespace(namespace, null, null, null); LOG GER.info("namespace created");

查看更多 →

#容器内部使用/mnt/oom/logs作为挂载目录 subPathExpr: $(POD_NAMESPACE).$(POD_NAME) #使用$(POD_NAMESPACE).$(POD_NAME)创建子目录，并将OOM转储文件生成到子目录中 imagePullSecrets:

查看更多 →

容器（Container） 镜像和容器的关系，就像是面向对象程序设计中的类和实例一样，镜像是静态的定义，容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。 命名空间（Namespace） 命名空间是一种在多个用户之间划分资源的方法。当您的项目和人员众多的时候可以考虑根据

查看更多 →

使用PrometheusRules配置普罗监控与告警规则 Prometheus具有PrometheusRule的能力，PrometheusRules提供了一种用于监控和警报的规则语言，能够方便用户更好的使用Prometheus查询监控指标，配置基于PromQL的告警规则。 当前云原生监控插件仅支持开启本地数

查看更多 →

“edge”：表示label用于边。 “all”：表示label用于点和边。 默认值为all。 properties 是 Object 待更新的属性数组。具体数组内参数介绍表3。 表3 properties参数说明 参数 是否必选 类型 说明 property 否 Object label的属性。具体参数介绍请见表4

查看更多 →

istio-ingressgateway namespace: default # 命名空间名称，按需替换 spec: replicas: 1 # 工作负载实例数，按需替换 selector: matchLabels: app: istio-ingressgateway

查看更多 →

restricted 严格限制，遵循Pod防护的最佳实践。 Pod Security Admission配置是命名空间级别的，控制器将会对该命名空间下Pod或容器中的安全上下文（Security Context）以及其他参数进行限制。其中，privileged策略将不会对Pod和Container

查看更多 →

新建Pod检查 检查内容 检查集群升级后，存量节点是否能新建Pod。 检查集群升级后，新建节点是否能新建Pod。 检查步骤 基于新建节点检查创建了新节点后，通过创建DaemonSet类型工作负载，在每个节点上创建Pod。 登录CCE控制台，单击集群名称进入集群。 在导航栏中选择“

查看更多 →

构建双架构镜像的本质是先分别构建x86和ARM架构的镜像，然后通过构建双架构的镜像manifest。 例如已经构建好了defaultbackend-linux-amd64:1.5和defaultbackend-linux-arm64:1.5两个镜像，分别是x86架构和ARM架构。 将这两个镜像

查看更多 →

填写需要关联的Pod的入方向协议类型和端口，目前支持TCP和UDP协议。不填写表示全部放通。 源对象命名空间 选择允许哪个命名空间的对象访问。不填写表示和当前策略属于同一命名空间。 源对象Pod标签 允许带有这个标签的Pod访问，不填写表示允许命名空间下全部Pod访问。 出方向规

查看更多 →

okenPod metadata: name: psp-automount-serviceaccount-token-pod spec: match: kinds: - apiGroups: [""] kinds: ["Pod"]

查看更多 →

如何为普通任务（Job)和定时任务（CronJob）类型负载注入sidecar 前置条件 确认使用ASM1.15.5-r3及以上版本创建网格。 默认场景下，对普通任务（Job）和定时任务（CronJob）类型负载创建的Pod不进行sidecar注入，如果需要注入请在创建工作负载时，设置高级参数“标签与注解>

查看更多 →

和podAntiAffinity中引入了更为精细的配置字段matchLabelKeys和mismatchLabelKeys，以解决调度器在Deployment滚动更新期间无法区分新老Pod，继而导致调度结果不符合亲和性和反亲和性预期的问题。详细使用方式请参考matchLabelKeys。

查看更多 →

和podAntiAffinity中引入了更为精细的配置字段matchLabelKeys和mismatchLabelKeys，以解决调度器在Deployment滚动更新期间无法区分新老Pod，继而导致调度结果不符合亲和性和反亲和性预期的问题。详细使用方式请参考matchLabelKeys。

查看更多 →

Gatekeeper 插件简介 Gatekeeper是一个基于开放策略（OPA）的可定制的云原生策略控制器，有助于策略的执行和治理能力的加强，在集群中提供了更多符合Kubernetes应用场景的安全策略规则。 开源社区地址：https://github.com/open-policy-agent/gatekeeper

查看更多 →

，只能指定未关联命名空间的容器网络配置。请在label上同时添加此参数，便于通过label查找所有关联此容器网络配置的Pod。 验证命名空间/工作负载是否绑定容器网络配置 您可以通过以下步骤确认工作负载是否成功绑定容器网络配置中的子网和安全组。如果需要验证命名空间是否绑定容器网络

查看更多 →

配置名称，可自定义。名称由小写字母、数字、横线（-）和点组成，且必须以字母或数字开头和结尾，最长支持63个字符。default-network、default、mgnt0、mgnt1四个名称为系统预留，请勿使用。 namespace 是 String 配置资源所在命名空间，固定为kube-system。

查看更多 →