文档中心

上云无忧 > 文档中心 > 腾讯云容器服务 TKE 标准集群 - 云上容器应用部署 Check List
腾讯云
容器服务 TKE
简介/价格/文档
腾讯云容器服务 TKE 标准集群 - 云上容器应用部署 Check List

文档简介:
简介: 业务上云安全高效、稳定高可用是每一位涉云从业者的共同诉求。这一诉求实现的前提,离不开系统可用性、数据可靠性及运维稳定性三者的完美配合。本文将从评估项目、影响说明及评估参考三个角度为您介绍云上容器应用部署的各个检查项,以便帮助您扫除上云障碍、顺利高效地将业务迁移到容器服务 TKE。
*此产品及展示信息均由腾讯云官方提供。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠

简介

业务上云安全高效、稳定高可用是每一位涉云从业者的共同诉求。这一诉求实现的前提,离不开系统可用性、数据可靠性及运维稳定性三者的完美配合。本文将从评估项目、影响说明及评估参考三个角度为您介绍云上容器应用部署的各个检查项,以便帮助您扫除上云障碍、顺利高效地将业务迁移到容器服务 TKE。

检查项

系统可用性

类别
评估项目
类型
影响说明
评估参考
集群
创建集群前,结合业务场景提前规划节点网络和容器网络,避免后续业务扩容受限。
网络规划
集群所在子网或容器网段较小,将可能导致集群实际支持的可用节点数少于业务所需容量。
网络规划
容器及节点网络设置
创建集群前,提前梳理专线接入、对等连接、容器网段和子网网段等相关网段的规划,避免之后出现网段冲突,影响业务。
网络规划
简单组网场景按照页面提示配置集群相关网段,避免冲突;业务复杂组网场景,例如对等连接、专线接入、VPN 等,网络规划不当将影响整体业务正常互访。
VPC 连接
创建集群时,会自动新建并绑定默认安全组,支持根据业务需求设置自定义安全组规则。
部署
安全组是重要的安全隔离手段,不当的安全策略配置可能会引起安全相关的隐患及服务连通性等问题。
容器服务安全组设置
Containerd 和 Docker 作为 TKE 当前支持的运行时组件,有不同的适用场景。创建集群时,请根据业务场景选择合适的容器运行时(Container Runtime)组件。
部署
集群创建后,如修改运行时组件及版本,只对集群内无节点池归属的增量节点生效,不会影响存量节点。
如何选择 Containerd 和 Docker
默认情况下,Kube-proxy 使用 iptables 来实现 Service 到 Pod 之间的负载均衡。创建集群时,支持快速开启 IPVS 来承接流量并实现负载均衡。
部署
当前支持在创建集群时开启 IPVS,之后对全集群生效且将不可关闭。
集群启用 IPVS
创建集群时,根据业务场景选择合适的集群模式:独立集群、托管集群。
部署
托管集群的 Master 和 Etcd 不属于用户资源,由腾讯云技术团队集中管理和维护,用户无法修改 Master 和 Etcd 的部署规模和服务参数。如需修改,请选用独立部署模式集群。
集群概述
集群的托管模式说明
工作负载
创建工作负载时需设置 CPU 和内存的限制范围,提高业务的健壮性。
部署
同一个节点上部署多个应用,当未设置资源上下限的应用出现应用异常资源泄露问题时,将会导致其它应用分配不到资源而异常,且其监控信息将会出现误差。
设置工作负载的资源限制
创建工作负载时可设置容器健康检查:“容器存活检查”和“容器就绪检查”。
可靠性
容器健康检查未配置,会导致用户业务出现异常时 Pod 无法感知,从而导致不会自动重启恢复业务,最终将会出现 Pod 状态正常,但 Pod 中的业务异常的现象。
服务健康检查设置
创建服务时需要根据实际访问需求选择合适的访问方式,目前支持以下四种:提供公网访问、仅在集群内访问、VPC 内网访问及主机端口访问。
部署
选择不当的访问方式,可能造成服务内外部访问逻辑混乱和资源浪费。
Service 管理
工作负载创建时,避免单 Pod 副本数设置,请根据自身业务合理设置节点调度策略。
可靠性
如设置单 Pod 副本数,当节点异常或实例异常会导致服务异常。为确保您的 Pod 能够调度成功,请确保您在设置调度规则后,节点有空余的资源用于容器的调度。
调整 Pod 数量
设置工作负载的调度规则

数据可靠性

类别
评估项目
类型
影响说明
评估参考
容器数据持久化
应用 Pod 数据存储,根据实际需求选择合适的数据卷类型。
可靠性
节点异常无法恢复时,存在本地磁盘中的数据无法恢复,而云存储此时可以提供极高的数据可靠性。
Volume 管理

运维稳定性

类别
评估项目
类型
影响说明
评估参考
工程
CVM、VPC、子网及 CBS 等资源配额是否满足客户需求。
部署
配额不足将会导致创建资源失败,对于配置了自动扩容的用户尤其需要保障所使用的云服务配额充足。
购买集群配额限制
配额限制
集群的节点上不建议用户随意修改内核参数、系统配置、集群核心组件版本、安全组及 LB 相关参数等。
部署
可能会导致 TKE 集群功能异常或安装在节点上的 Kubernetes 组件异常,节点状态变成不可用,无法部署应用到此节点。
容器服务高危操作
主动运维
容器服务提供多维度的监控和告警功能,同时结合腾讯云可观测平台 TCOP 提供的基础资源监控,能保证更细的指标覆盖。配置监控告警,以便于异常时及时收到告警和故障定位。
监控
未配置监控告警,将无法建立容器集群性能的正常标准,在出现异常时无法及时收到告警,需要人工巡检环境。
查看监控数据
监控及告警指标列表
相似文档
  • 腾讯云容器服务 TKE 标准集群 - 开源组件
    tencentcloud-cloud-controller-manager: tencentcloud-cloud-controller-manager 是腾讯云容器服务的 Cloud Controller Manager 的实现。使用该组件,可以在通过腾讯云云服务器自建的 Kubenrentes 集群上实现以下功能: nodecontroller:更新 Kubernetes node 相关的 addresses 信息。 routecontroller:负责创建私有网络内 pod 网段内的路由。 servicecontroller:当集群中创建了类型为负载均衡的 service 的时候,创建相应的负载均衡。
  • 腾讯云容器服务 TKE 标准集群 - 权限管理概述
    如果您在腾讯云中使用到了容器服务(Tencent Kubernetes Engine,TKE),且该服务虽然由不同的人管理,但都统一使用您的云账号密钥,将存在以下问题: 您的密钥由多人共享,泄密风险高。 您无法限制其他人的访问权限,其他人误操作易造成安全风险。
  • 腾讯云容器服务 TKE 标准集群 - 服务授权相关角色权限说明
    在使用腾讯云容器服务(Tencent Kubernetes Engines,TKE)的过程中,为了能够使用相关云资源,会遇到多种需要进行服务授权的场景。每种场景通常对应不同的角色所包含的预设策略,其中主要涉及到 TKE_QCSRole 和 IPAMDofTKE_QCSRole 两个角色。本文档接下来将分角色展示各个授权策略的详情、授权场景及授权步骤。
  • 腾讯云容器服务 TKE 标准集群 - TCR 镜像仓库资源级权限设置
    容器镜像服务权限介绍: 腾讯云容器镜像的地址格式是:ccr.ccs.tencentyun.com/${namespace}/${name}:${tag}。 镜像仓库的权限围绕以下两个字段进行设置: ${namespace}: 镜像仓库所属命名空间。 ${name}: 镜像仓库名称。
  • 腾讯云容器服务 TKE 标准集群 - 使用 TKE 预设策略授权
    本文介绍腾讯云容器服务 TKE 的预设策略,及如何将子账号关联预设策略,授予子账号特定权限。您可参考文本并根据实际业务诉求进行配置。
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部