华为云 CCE(Cloud Container Engine)是一款开源的容器编排平台,其配置全流程与关键要点:
配置全流程
- 创建虚拟私有云(VPC)和子网:可以在华为云控制台直接创建,也可通过 Terraform 等工具创建。若使用 Terraform,需定义 VPC 的名称、CIDR 块等参数,以及子网的名称、CIDR 块、网关 IP 和 DNS 服务器等信息。
- 创建 CCE 集群:
- 选择集群规格:根据业务需求选择合适的集群规格,如 cce.s1.small、cce.s1.medium 等。
- 配置网络:选择之前创建的 VPC 和子网,设置容器网络类型,如 overlay_l2、underlay_ipvlan 等。
- 设置弹性公网 IP(可选):如果集群需要对外提供服务,可以创建弹性公网 IP 并关联到集群。
- 添加节点到集群:
- 选择节点类型:如弹性云服务器 - 虚拟机。
- 配置计算资源:选择节点规格,如 2 核 8G 及以上规格,选择操作系统,如 Euler 镜像。
- 设置登录方式:可以选择密码登录或密钥对登录。
- 部署应用:
- 选择部署方式:可以通过命令行、Web 界面或 CodeArts Deploy 等工具进行应用部署。
- 配置应用参数:包括负载名称、实例数量、镜像名称、镜像版本、升级方式等。还可以设置容器规格,如 CPU 申请配额、CPU 限制配额、内存申请配额、内存限制配额等。
- 配置服务访问:如果应用需要对外提供服务,需要创建服务来暴露应用。可以选择集群内访问或对外访问,设置服务的端口、选择器等参数。
- 监控与告警:
- 开通应用运维管理(AOM):在 CCE 购买集群和节点后,自动安装 ICAgent 插件,将 CCE 集群指标上报到 AOM。
- 配置告警规则:通过创建告警规则对 CCE 的指标设置告警阈值条件,当指标数据满足设置的告警阈值条件时产生告警。
关键要点
- 集群版本选择:建议选择最新版本,以获得更好的性能、安全性和新特性支持。
- 网络配置:容器网络模型的选择要根据实际业务需求和网络环境来决定。同时,要合理规划 VPC 和子网的 CIDR 块,避免与其他网络冲突。
- 节点规格与数量:根据应用的资源需求和性能要求选择合适的节点规格和数量。要考虑到未来业务的扩展,预留一定的资源余量。
- 安全配置:
- 启用企业主机安全(HSS)服务保护 CCE 集群中的 Node 节点及之上的容器。
- 禁止容器获取宿主机元数据,限制业务容器访问管理面。
- 集群 apiserver 和节点非必须不要暴露到公网,如需暴露,要通过合理配置防火墙或者安全组规则,限制非必须的端口和 IP 访问。
- 应用部署与升级:
- 选择合适的升级方式,如替换升级或滚动升级,以减少应用升级过程中的停机时间和对业务的影响。
- 配置合理的容器规格,避免资源浪费或资源不足导致应用性能问题。
- 监控与日志:
- 启用云日志服务(LTS)并采集容器日志,包括容器标准输出、容器内的日志文件、节点日志文件和 Kubernetes 事件等,以便于故障排查和业务分析。
- 通过 AOM 配置告警规则,及时发现集群和应用的异常情况,以便及时采取措施进行处理。
