文档中心

上云无忧 > 文档中心 > 腾讯云容器服务 TKE 标准集群 - 容器服务高危操作
腾讯云
容器服务 TKE
简介/价格/文档
腾讯云容器服务 TKE 标准集群 - 容器服务高危操作

文档简介:
业务部署或运行过程中,用户可能会触发不同层面的高危操作,导致不同程度上的业务故障。为了能够更好地帮助用户预估及避免操作风险,本文将从集群、网络与负载均衡、日志、云硬盘多个维度出发,为用户展示哪些高危操作会导致怎样的后果,以及为用户提供相应的误操作解决方案。
*此产品及展示信息均由腾讯云官方提供。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠
业务部署或运行过程中,用户可能会触发不同层面的高危操作,导致不同程度上的业务故障。为了能够更好地帮助用户预估及避免操作风险,本文将从集群、网络与负载均衡、日志、云硬盘多个维度出发,为用户展示哪些高危操作会导致怎样的后果,以及为用户提供相应的误操作解决方案。

集群

分类
高危操作
导致后果
误操作解决方案
master 及 etcd 节点
修改集群内节点安全组
可能导致 master 节点无法使用
按照官网推荐配置放通安全组
节点到期或被销毁
该 master 节点不可用
不可恢复
重装操作系统
master 组件被删除
不可恢复
自行升级 master 或者 etcd 组件版本
可能导致集群无法使用
回退到原始版本
删除或格式化节点 /etc/kubernetes 等核心目录数据
该 master 节点不可用
不可恢复
更改节点 IP
该 master 节点不可用
改回原 IP
自行修改核心组件(etcd、kube-apiserver、docker 等)参数
可能导致 master 节点不可用
按照官网推荐配置参数
自行更换 master 或 etcd 证书
可能导致集群不可用
不可恢复
worker 节点
修改集群内节点安全组
可能导致节点无法使用
按照官网推荐配置放通安全组
调整节点实例规格
机器强制关机,节点不可用
节点移出再加入集群
节点到期或被销毁
该节点不可用
不可恢复
重装操作系统
节点组件被删除
节点移出再加入集群
自行升级节点组件版本
可能导致节点无法使用
回退到原始版本
更改节点 IP
节点不可用
改回原 IP
自行修改核心组件(etcd、kube-apiserver、docker 等)参数
可能导致节点不可用
按照官网推荐配置参数
修改操作系统配置
可能导致节点不可用
尝试还原配置项或删除节点重新购买
其他
在 CAM 中执行权限变更或修改的操作
集群部分资源如负载均衡可能无法创建成功
恢复权限

网络与负载均衡

高危操作
导致后果
误操作解决方案
修改内核参数 net.ipv4.ip_forward=0
网络不通
修改内核参数为 net.ipv4.ip_forward=1
修改内核参数 net.ipv4.tcp_tw_recycle = 1
导致 nat 异常
修改内核参数 net.ipv4.tcp_tw_recycle = 0
节点安全组配置未放通容器 CIDR 的53端口 udp
集群内 DNS 无法正常工作
按照官网推荐配置放通安全组
修改或者删除 TKE 添加的 LB 的标签
购买新的 LB
恢复 LB 的标签
通过 LB 的控制台在 TKE 管理的 LB 创建自定义的监听器
所做修改被 TKE 侧重置
通过 service 的 yaml 来自动创建监听器
通过 LB 的控制台在 TKE 管理的 LB 绑定自定义的后端 rs
禁止手动绑定后端 rs
通过 LB 的控制台修改 TKE 管理的 LB 的证书
通过 ingress 的 yaml 来自动管理证书
通过 LB 的控制台修改 TKE 管理的 LB 监听器名称
禁止修改 TKE 管理的 LB 监听器名称

日志

高危操作
导致后果
误操作解决方案
备注
删除宿主机 /tmp/ccs-log-collector/pos 目录
日志重复采集
Pos 里面的文件记录了文件的采集位置
删除宿主机 /tmp/ccs-log-collector/buffer 目录
日志丢失
Buffer 里面是待消费的日志缓存文件

云硬盘

高危操作
导致后果
误操作解决方案
控制台手动解挂 CBS
Pod 写入报 io error
删掉 node上mount 目录,重新调度 Pod
节点上 umount 磁盘挂载路径
Pod 写入本地磁盘
重新 mount 对应目录到 Pod 中
节点上直接操作 CBS 块设备
Pod 写入本地磁盘
相似文档
  • 腾讯云容器服务 TKE 标准集群 - 云上容器应用部署 Check List
    简介: 业务上云安全高效、稳定高可用是每一位涉云从业者的共同诉求。这一诉求实现的前提,离不开系统可用性、数据可靠性及运维稳定性三者的完美配合。本文将从评估项目、影响说明及评估参考三个角度为您介绍云上容器应用部署的各个检查项,以便帮助您扫除上云障碍、顺利高效地将业务迁移到容器服务 TKE。
  • 腾讯云容器服务 TKE 标准集群 - 开源组件
    tencentcloud-cloud-controller-manager: tencentcloud-cloud-controller-manager 是腾讯云容器服务的 Cloud Controller Manager 的实现。使用该组件,可以在通过腾讯云云服务器自建的 Kubenrentes 集群上实现以下功能: nodecontroller:更新 Kubernetes node 相关的 addresses 信息。 routecontroller:负责创建私有网络内 pod 网段内的路由。 servicecontroller:当集群中创建了类型为负载均衡的 service 的时候,创建相应的负载均衡。
  • 腾讯云容器服务 TKE 标准集群 - 权限管理概述
    如果您在腾讯云中使用到了容器服务(Tencent Kubernetes Engine,TKE),且该服务虽然由不同的人管理,但都统一使用您的云账号密钥,将存在以下问题: 您的密钥由多人共享,泄密风险高。 您无法限制其他人的访问权限,其他人误操作易造成安全风险。
  • 腾讯云容器服务 TKE 标准集群 - 服务授权相关角色权限说明
    在使用腾讯云容器服务(Tencent Kubernetes Engines,TKE)的过程中,为了能够使用相关云资源,会遇到多种需要进行服务授权的场景。每种场景通常对应不同的角色所包含的预设策略,其中主要涉及到 TKE_QCSRole 和 IPAMDofTKE_QCSRole 两个角色。本文档接下来将分角色展示各个授权策略的详情、授权场景及授权步骤。
  • 腾讯云容器服务 TKE 标准集群 - TCR 镜像仓库资源级权限设置
    容器镜像服务权限介绍: 腾讯云容器镜像的地址格式是:ccr.ccs.tencentyun.com/${namespace}/${name}:${tag}。 镜像仓库的权限围绕以下两个字段进行设置: ${namespace}: 镜像仓库所属命名空间。 ${name}: 镜像仓库名称。
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部