本节介绍了云容器引擎的高危操作及解决方案。
用户在使用容器集群进行业务的部署过程中,可能会执行一些潜在风险较高的操作,触发不同程度的业务故障。为更好地帮助用户预估和避免潜在的操作风险,本文从集群节点层面展示一些高危操作可能导致的后果,并提供相应的解决方案,以防止误操作。
节点类型 | 高危操作 | 后果 | 解决方案 |
master节点 | 节点到期或销毁 | 该master节点不可用若只有一个master节点,则集群不可用 | 不可恢复 |
master节点 | 自行改动master或etcd版本 | 可能引发集群不可用 | master或etcd恢复原始版本 |
master节点 | 删除或者格式化/etc/kubernetes或/data/containerd等核心数据目录 | 该master节点不可用若只有一个master节点,则集群不可用 | 不可恢复 |
master节点 | 重装操作系统 | master组件被删除,不可用若只有一个master节点,则集群不可用 | 不可恢复 |
master节点 | 删除或者卸载关键内核模块或内核文件 | 该master节点不可用若只有一个master节点,则集群不可用 | 不可恢复 |
master节点 | 修改操作系统配置 | 可能导致该master节点不可用若只有一个master节点,则集群不可用 | 请自行还原配置 |
master节点 | 自行修改核心组件参数 | 可能导致该master节点不可用 | 核心组件参数恢复配置 |
master节点 | 自行修改/etc/resolv.conf等配置文件原始内容 | 可能引发网络不通或拉取镜像失败 | 请自行还原配置文件原始内容 |
master节点 | 自行更换master或者etcd证书 | 可能引发集群不可用 | 不可恢复 |
master节点 | 更改节点IP | master节点不可用 | 修改回原IP |
master节点 | 业务应用占用资源过高 | 核心组件或者主机节点不可用 | 请自行进行资源清理并进行合理资源配额限制 |
master节点 | 修改节点的主机名称 | master节点不可用 | 修改回原主机名称 |
node节点 | 节点删除或到期 | 该节点不可用 | 不可恢复 |
node节点 | 重装操作系统 | 该节点不可用 | 不可恢复 |
node节点 | 删除或者卸载关键内核模块或内核文件 | 该节点不可用 | 不可恢复 |
node节点 | 修改操作系统配置 | 可能导致该节点不可用 | 尝试还原配置 |
node节点 | 自行修改核心组件参数 | 可能导致该节点不可用 | 核心组件参数恢复配置 |
node节点 | 删除或修改关键数据目录、删除数据盘 | 该节点不可用 | 不可恢复 |
node节点 | 修改节点内目录权限或者容器目录权限 | 权限异常 | 不建议修改,请自行恢复 |
node节点 | 更改节点IP | 该节点不可用 | 修改回原IP |
node节点 | 业务应用占用资源过高 | 核心组件或者主机节点不可用 | 请自行进行资源清理并进行合理资源配额限制 |
node节点 | 修改节点的主机名称 | 该节点不可用 | 修改回原主机名称 |
容器集群开通节点时会创建以下互通的不可见安全组规则,请勿轻易更改安全组。
入方向/出方向规则 | 授权策略 | IP版本 | 优先级 | 协议 | 网段 | 端口范围 | 解决方案 |
入方向 | 允许 | IPV4 | 99 | Any | vpc网段 | 全部端口 | 不能更改该安全组规则 |
入方向 | 允许 | IPV6 | 99 | Any | vpc网段 | 全部端口 | |
入方向 | 允许 | IPV6 | 99 | Any | 100::/16 | 全部端口 | |
出方向 | 允许 | IPV4 | 99 | Any | 所有网段 0.0.0.0/0 | 全部端口 | |
出方向 | 允许 | IPV6 | 99 | Any | 所有网段 0:0:0:0:0:0:0:0/0 | 全部端口 |