用户在使用容器集群进行业务的部署过程中,可能会执行一些潜在风险较高的操作,触发不同程度的业务故障。为更好地帮助用户预估和避免潜在的操作风险,本文从集群节点层面展示一些高危操作可能导致的后果,并提供相应的解决方案,以防止误操作。
节点类型 高危操作 后果 解决方案 master节点 节点到期或销毁 该master节点不可用若只有一个master节点,则集群不可用 不可恢复 master节点 自行改动master或etcd版本 可能引发集群不可用 master或etcd恢复原始版本 master节点 删除或者格式化/etc/kubernetes或/data/containerd等核心数据目录 该master节点不可用若只有一个master节点,则集群不可用 不可恢复 master节点 重装操作系统 master组件被删除,不可用若只有一个master节点,则集群不可用 不可恢复 master节点 删除或者卸载关键内核模块或内核文件 该master节点不可用若只有一个master节点,则集群不可用 不可恢复 master节点 修改操作系统配置 可能导致该master节点不可用若只有一个master节点,则集群不可用 请自行还原配置 master节点 自行修改核心组件参数 可能导致该master节点不可用 核心组件参数恢复配置 master节点 自行修改/etc/resolv.conf等配置文件原始内容 可能引发网络不通或拉取镜像失败 请自行还原配置文件原始内容 master节点 自行更换master或者etcd证书 可能引发集群不可用 不可恢复 master节点 更改节点IP master节点不可用 修改回原IP master节点 业务应用占用资源过高 核心组件或者主机节点不可用 请自行进行资源清理并进行合理资源配额限制 node节点 节点删除或到期 该节点不可用 不可恢复 node节点 重装操作系统 该节点不可用 不可恢复 node节点 删除或者卸载关键内核模块或内核文件 该节点不可用 不可恢复 node节点 修改操作系统配置 可能导致该master节点不可用若只有一个master节点,则集群不可用 尝试还原配置 node节点 自行修改核心组件参数 可能导致该节点不可用 核心组件参数恢复配置 node节点 删除或修改关键数据目录、删除数据盘 该节点不可用 不可恢复 node节点 修改节点内目录权限或者容器目录权限 权限异常 不建议修改,请自行恢复 node节点 更改节点IP 该节点不可用 修改回原IP node节点 业务应用占用资源过高 核心组件或者主机节点不可用 请自行进行资源清理并进行合理资源配额限制
容器集群开通节点时会创建以下互通的不可见安全组规则,请勿轻易更改安全组。
入方向/出方向规则 授权策略 IP版本 优先级 协议 网段 端口范围 解决方案 入方向 允许 IPV4 99 Any vpc网段 全部端口 不能更改该安全组规则 入方向 允许 IPV6 99 Any vpc网段 全部端口 入方向 允许 IPV6 99 Any 100::/16 全部端口 出方向 允许 IPV4 99 Any 所有网段 0.0.0.0/0 全部端口 出方向 允许 IPV6 99 Any 所有网段 0:0:0:0:0:0:0:0/0 全部端口