华为云用户手册

解决方案 问题场景一：节点镜像非CCE标准镜像 CCE节点运行依赖创建时的初始标准内核版本，CCE基于该内核版本做了全面的兼容性测试，非标准的内核版本可能在节点升级中因兼容性问题导致节点升级失败，详情请参见高危操作及解决方案。 当前CCE不建议该类节点进行升级，建议您在升级前重置节点至标准内核版本。 问题场景二：特殊版本镜像存在缺陷 检查到本次升级涉及1.17 欧拉2.8 Arm镜像，该版本镜像存在缺陷，其上docker重启后将影响"docker exec"命令，升级集群版本时将触发docker版本更新，触发docker重启，因此存在建议： 建议您提前排空、隔离该节点后进行集群升级。 建议您升级至1.19及更高版本后，通过重置节点操作更换更高版本镜像，例如欧拉2.9镜像。

功能介绍 原生Kubernetes调度器只能基于资源的申请值进行调度，然而Pod的真实资源使用率，往往与其所申请资源的Request/Limit差异很大，这直接导致了集群负载不均的问题： 集群中的部分节点，资源的真实使用率远低于资源申请值的分配率，却没有被调度更多的Pod，这造成了比较大的资源浪费。 集群中的另外一些节点，其资源的真实使用率事实上已经过载，却无法为调度器所感知到，这极大可能影响到业务的稳定性。 Volcano提供基于真实负载调度的能力，在资源满足的情况下，Pod优先被调度至真实负载低的节点，集群各节点负载趋于均衡。 随着集群状态，工作负载流量与请求的动态变化，节点的利用率也在实时变化，为防止Pod调度完成后，集群再次出现负载极端不均衡的情况下，Volcano同时提供重调度能力，通过负载感知和热点打散重调度结合使用，可以获得集群最佳的负载均衡效果。关于热点打散重调度能力的使用请参见重调度（Descheduler）。

如何使节点CPU、内存的真实负载趋于均衡 工作负载运行过程中，真实消耗的CPU和内存存在大的波动，通过工作负载request资源无法准确评估的场景中，希望调度器可以结合集群内节点CPU、内存的负载情况，将Pod优先调度到负载较低的节点，实现节点负载均衡，避免出现因单个节点负载过高而导致的应用程序或节点故障。 配置案例1 开启负载感知调度策略，使用默认权重值5。插件详情与配置方法请参见负载感知调度。 关闭装箱调度策略（binpack）。插件详情与配置方法请参见装箱调度（Binpack）。 配置建议如下： 优先确保各节点CPU资源负载趋于均衡：建议提高负载感知调度的CPU权重为5， 内存权重保持为1。 优先确保各节点的内存资源负载趋于均衡：建议提高负载感知调度的内存权重为5，CPU权重保持为1。 真实负载阈值生效方式与CPU真实负载阈值和内存真实负载阈值联合生效： 硬约束场景： 节点CPU真实利用率超过CPU真实负载阈值后，该节点不允许调度新的工作负载。 节点内存真实利用率超过内存真实负载阈值后，该节点不允许调度新的工作负载。 软约束场景： 节点CPU真实利用率超过CPU真实负载阈值后，尽可能不向该节点调度新的工作负载。 节点内存真实利用率超过内存真实负载阈值后，尽可能不向该节点调度新的工作负载。 希望集群内各节点的负载趋于均衡，同时希望尽可能提升集群资源利用率的场景：可以设置真实负载阈值生效方式为软约束，CPU真实负载阈值和内存真实负载阈值使用默认值80。 希望优先确保工作负载的稳定性，降低热点节点CPU、内存压力的场景：可以设置真实负载阈值生效方式为硬约束，CPU真实负载阈值和内存真实负载阈值在60~80之间设置。 配置案例2 随着集群状态，工作负载流量与请求的动态变化，节点的利用率也在实时变化，集群有可能会再次出现负载极端不均衡的情况，在业务Pod允许被驱逐重新调度的场景中，通过负载感知和热点打散重调度结合使用，可以获得集群最佳的负载均衡效果。关于热点打散重调度能力的使用请参见重调度（Descheduler）。 开启负载感知调度策略，使用默认权重值5。插件详情与配置方法请参见负载感知调度。 开启重调度能力，完成负载感知重调度策略配置。插件详情与配置方法请参见重调度（Descheduler）。 关闭装箱调度策略（binpack）。插件详情与配置方法请参见装箱调度（Binpack）。 配置建议如下： 负载感知重调度策略配置推荐 高负载节点驱逐pod的阈值信息targetThreshold：cpu为75、memory为70。 低负载节点承接pod的阈值信息thresholds：cpu为30、memory为30。 负载感知调度的真实负载阈值应介于重调度高负载节点与低负载节点阈值之间 CPU真实负载阈值 65 内存真实负载阈值 60

如何减少节点资源碎片，提高集群资源利用率 集群中存在大作业（request资源量较大）和小作业（request资源量较少）混合提交并运行，希望小作业可以优先填满集群各节点的资源碎片，将空闲的节点资源优先预留给大作业运行，避免大作业由于节点资源不足长时间无法调度。 开启装箱策略（binpack），使用默认权重值10。插件详情与配置方法请参见装箱调度（Binpack）。 配置建议如下： 优先减少集群中的CPU资源碎片：建议提高binpack策略中的CPU权重为5，Memory权重保持为1。 优先减少集群中的Memory资源碎片：建议提高binpack策略中的Memory权重为5，CPU权重保持为1。 优先减少集群中的GPU资源碎片：建议自定义资源类型（GPU），并设置GPU资源权重为10，CPU权重保持为1，Memory权重保持为1。

节点优选调度策略介绍 Volcano插件支持的节点调度策略如下： 调度策略 参数 说明 使用指导 装箱调度（binpack） binpack.weight 装箱策略，开启后默认值是 10 装箱调度（Binpack） 兼容kube-scheduler节点排序策略（nodeorder） nodeaffinity.weight 节点亲和性优先调度，默认值是2。 默认开启 podaffinity.weight Pod亲和性优先调度，默认值是2。 leastrequested.weight 资源分配最少的节点优先，默认值是1。 balancedresource.weight 节点上面的不同资源分配平衡的优先，默认值是1。 mostrequested.weight 资源分配最多的节点优先，默认值是0。 tainttoleration.weight 污点容忍高的优先调度，默认值是3。 imagelocality.weight 节点上面有Pod需要镜像的优先调度，默认值是1。 selectorspread.weight 把Pod均匀调度到不同的节点上，默认值是0。 podtopologyspread.weight Pod拓扑调度，默认值是2。 numa亲和性调度（numa-aware） weight numa亲和性调度，开启后默认值是 1。 NUMA亲和性调度 负载感知调度（usage） weight 负载感知调度，开启后默认值是 5 负载感知调度 节点池亲和性调度（nodepoolaffinity） nodepoolaffinity.weight 节点池亲和调度，开启后默认是 10000 节点池亲和性调度

稳定高效升级 在升级稳定性提升方面，我们基于华为云上万次的升级经验沉淀，为用户提供了全方位的升级前检查项，检查项涵盖集群、节点、插件和应用、关键组件状态和配置、资源使用等方面，极大程度上为用户规避升级风险，实现稳定升级。同时，备份是业务连续性的重要保证，业界通用的Etcd备份方案存在无法备份集群组件和配置的问题，我们通过采用硬盘快照备份方案不仅为用户提供了完整的集群数据备份能力，且平均备份速度提升近10倍。 在升级效率方面，一方面由于Kubernetes社区只兼容相邻小版本，当版本跨度较大时，需要通过多次升级至最新版。我们为用户提供跨版本升级能力，最多支持跨4个大版本进行升级，如v1.23升级至v1.27，有效缩短用户升级路径，节约升级成本；另一方面，升级时间随着在集群规模正增长，我们在保证集群升级安全的前提下，最多支持100节点并发升级，让用户在更短的时间内完成集群节点升级，提高升级效率。 图3 简化集群升级路径 图4 集群节点并发升级

丝滑交互体验 在升级引导方面，我们通过引导页面，给用户清晰直观呈现待升级集群的提示消息，让用户不会错过重要的升级通知。 图5 集群管理页面集群升级通知 为了降低用户理解成本，我们设计了升级小动画为用户阐述原地升级的概念和原理，帮助用户生动直观地了解集群升级流程和注意事项。 图6 集群升级动画 同时，我们推出了升级路径推荐功能，自动选择最佳的升级路径，并根据升级路径展示本次升级带来的特性更新和优化增强等。 图7 升级路径 在升级流程中，我们通过可视化的手段为用户详细呈现了升级的进度和异常情况，升级过程一目了然，使用户能掌控升级进度，降低焦虑。 图8 升级进度可视化 在升级检查异常时，我们基于不同资源汇聚了检查项信息，帮助用户快速查看异常项并提供修复建议，引导用户快速处理问题。 图9 升级异常诊断分析 在升级完成后，我们会帮助用户进行升级后自动验证，确保升级后的集群正常运行，节省用户时间和精力。 图10 自动健康诊断

过程业务无感 传统升级方式主要有节点替换升级和集群迁移升级，两种方式均会导致业务Pod重建，进而影响用户业务。华为云率先推出原地升级能力，只需更新CCE组件版本，节点无需任何变动，对集群中运行的Pod业务无任何影响，从而实现无损升级。同时，原地升级在速度上相比传统升级有大幅提升。 图2 传统升级和原地升级对比 同时，用户无需关注集群与插件版本的依赖关系，一键式升级将为您自动进行升级适配，省心省力。 此外，如果在升级过程中出现不可预期的情况，可以基于备份为用户实现快速恢复，使用户更容易掌控集群升级。

透明化：所见即所得、将复杂的过程透明化 像集群升级等关键操作，具体变更点及影响相对模糊，容易引起用户顾虑。对于此类操作，我们通过信息预先告知、过程可视可回退等设计理念，让用户有充分的知情权和掌控感，降低用户顾虑。 以集群升级为例，由于用户未清晰感知相关原理和可能存在的影响，升级过程不感知进度细节，不敢轻易升级。本次优化中，我们通过可视化等手段预先为用户呈现讲解原地升级的概念和原理，告知用户升级对插件等功能的影响，降低用户顾虑。 图8 集群升级流程展示 图9 集群升级插件影响 同时对于升级过程，如升级检查，拓扑图形式呈现检查过程，用户可感知资源视角的进度和异常情况。 图10 集群升级过程可视化 对于升级过程，用户如果遇到异常，可以随时调出伴随式监控，辅助定位问题，无需跳转查看监控。 图11 集群升级过程监控

场景化：聚焦用户场景，无跳出运维管理 在实地拜访中，我们发现工程师近80%的工作场景都在进行运维相关的工作。而之前CCE提供的是基础的监控能力，用户需要跳转去应用运维管理服务，查看详细监控和告警。 围绕查看监控、告警的场景，我们希望用户能更聚焦对应的资源对象，我们提出“以应用为中心，构筑端到端的一站式运维体验”的设计理念。 围绕集群、节点、负载和Pod，我们提供融合了资源健康度和监控的独立运维页面，方便用户聚焦关注的资源。用户在一个页面即可快速评估资源健康度和异常项，同时查看各层级完成监控。 图6 监控中心优化 围绕告警，CCE集成了应用运维管理的告警通知和告警规则、消息通知服务的联系人管理，用户无需跳转，即可在CCE快速查看处理告警和进行配置。 图7 告警中心优化

易用：一站式集群配置，开箱即用 不少用户反馈容器技术门槛相对较高，很多繁杂的配置用户自行摸索起来，效率低。日志等一些服务的开通和使用，需要到不同的服务里多次跳转等。针对这些复杂的配置问题，我们推出配置中心。在配置中心里，将配置项进行分类，方便用户统一管理同一类型配置。针对具体的配置项，我们提供配置解释、配置建议、给出配置风险，帮助用户“自己搞定”配置。 图4 配置中心优化 在运维管理上，我们推出云原生观测中心，实现运维管理的开箱即用。云原生观测中心将监控、日志服务集成进CCE服务，用户可以在CCE的页面内完成监控、日志的一键开通，并且在使用过程也不需要跳出CCE服务。 图5 日志管理优化

Kubernetes Dashboard插件版本发布记录 表1 Kubernetes Dashboard插件版本记录 插件版本 支持的集群版本 更新特性 社区版本 2.2.27 v1.21 v1.23 v1.25 修复部分问题 2.7.0 2.2.7 v1.21 v1.23 v1.25 - 2.7.0 2.2.5 v1.21 v1.23 v1.25 插件与节点时区一致 2.7.0 2.2.3 v1.21 v1.23 v1.25 - 2.7.0 2.1.1 v1.19 v1.21 v1.23 适配CCE v1.23集群 更新至社区v2.5.0版本 2.5.0 2.0.10 v1.15 v1.17 v1.19 v1.21 适配CCE v1.21集群 2.0.0 2.0.4 v1.15 v1.17 v1.19 配置seccomp默认规则 2.0.0 2.0.3 v1.15 v1.17 v1.19 兼容CCE v1.15集群 2.0.0 2.0.2 v1.17 v1.19 适配CCE v1.19集群 2.0.0 2.0.1 v1.15 v1.17 支持鲲鹏集群 2.0.0 2.0.0 v1.17 支持对接CCE v1.17 2.0.0 父主题： 插件版本发布记录

一站式告警配置 为了让用户在极短时间内完成系统的基本告警配置，CCE服务联合AOM服务推出云原生专属告警模板，一键即可配置云原生系统的告警规则。此告警模板基于华为云日常运维经验总结提炼，内容涵盖了集群故障事件以及集群、节点、负载资源监控阈值等多方面的常见故障场景。用户只需要在CCE开启告警中心，绑定故障通知人员的邮箱或手机即可。 图2 一键开启 另外，告警中心还具备告警通知组配置、告警规则配置、告警查看回溯等能力，让运维人员能够一站式完成告警的配置和处理流程，完成闭环。 告警中心基于华为云SMN服务提供告警通知组能力。通过配置告警通知组，能够在故障产生时根据问题触发系统的种类和级别及时通知相应的运维人员介入处理。 图3 配置告警通知组 告警规则可通过告警模板一键下发，涵盖集群常用的指标告警和事件告警。当然，用户也可以自由选配这些告警规则。 图4 配置告警规则 当告警产生时，告警通知人会及时收到告警通知，并可以通过告警中心提供的可视化界面查看和消除告警。为方便用户对已发生故障进行回溯，告警中心也同样支持查看历史已经消除的告警。 图5 告警列表

云原生日志视图 为了契合云原生业务特征，方便运维人员快速查询日志并准确定位故障，华为云CCE服务推出日志中心功能，提供云原生视角的专属页面版式。 图6 日志中心 日志中心支持根据K8s资源对象，如工作负载、Pod等进行过滤筛选。同时支持K8s管理日志、审计日志、业务日志等分类展示，整体页面更加简洁，日志主体内容及关联的K8s资源等重点信息更加突出，能够让运维人员聚焦故障点日志，排除干扰。 图7 多维度过滤筛选 日志中心还提供了日志采集策略的配置管理能力，支持自由配置采集的K8s资源对象。另外，为了进一步降低日志的使用门槛，日志中心提供了控制面日志、审计日志和容器标准输出日志的采集配置模板，支持一键开启或关闭。 图8 采集模板 本期我们针对告警中心和日志中心的能力给大家进行了简单的介绍。我们非常期待这些能力能够有效地提升您的运维体验。我们将会进行持续优化。期待您的使用以及宝贵的改进意见。

内容上新：实操案例丰富，满足用户需求 CCE文档的内容优化是为了让用户能够在使用CCE时轻松获取所需信息，配置系统并应对各种关键场景。 首先，我们引入了一份详尽的CCE配置参考手册，其中列出了各类参数的详细说明，包括集群、节点等各项配置。用户可以在配置手册中找到所需的参数信息，从而更好地理解和掌握系统配置。 图3 配置手册 此外，我们还新增多篇CCE最佳实践，覆盖了一系列关键场景，如基于容器的CI/CD、应用上云、日志监控等，旨在帮助用户在实际应用中成功地配置和管理云原生环境。用户可以依照这些最佳实践，快速了解如何部署容器应用、将服务迁移到云端以及如何设置有效的日志监控系统。这些实际场景的指导有助于用户将理论知识转化为实际操作，提高技能水平，同时减少配置和部署的复杂性。 图4 最佳实践

智能问答增强：用户体验更友好，问题快速解答 在CCE文档的智能问答部分，我们新增了超过800条高质量问答对，旨在全面覆盖CCE的常见问题和疑虑。这意味着用户现在可以像与客服交互一样，通过智能问答系统获得即时反馈，无需漫长的搜索或等待。 这项改进的好处不仅仅在于提供更快速的解答，还在于增强了文档的互动性和友好度。用户不再需要翻阅大量文档或手动搜索答案，而是可以直接向智能问答系统提问。这种自然语言查询的方式使文档更加与用户互动，打破了传统文档的单向性质。用户可以随时提出问题，获得立即的、个性化的答案，从而提高了文档的实用性和用户体验。 图6 智能问答

结构优化：知识体系完善，学习路径清晰 为了帮助用户更直观地获取所需信息，在内容结构上，我们针对用户学习和检索行为对文档目录进行了优化，使用户能够更加清晰了解CCE的学习使用路径。用户可以轻松地跟随这条路径，从入门级别的基础操作指导开始，逐步深入到更高级的管理和运维实践。这种渐进式学习路径帮助用户建立坚实的基础，从而更好地理解和掌握云原生技术。 图1 文档目录优化 其次，我们加强了文档之间的关联性。每篇文档都与其他相关文档形成了链接，帮助用户在需要的时候能够轻松地跳转到相关主题。 确保用户可以更全面地了解整个云原生技术生态系统。 图2 文档关联性增强

内容重构升级：核心知识更可靠，操作更明确 对文档内容进行了重构与升级，更新了关键操作指导，确保内容更加易用。 例如我们对容器存储相关文档进行了全面的重构，容器存储是云原生环境中不可或缺的一部分，因为它涉及到应用程序数据的持久性和可靠性。我们重新审视并更新了存储文档，确保其内容涵盖了各种存储解决方案和最佳实践，并将内容从以K8s对象角度更新为存储类型角度组织，使得用户能够更加直观的从使用存储的角度查找并使用文档。 图5 存储内容重构升级

全景观测：多维度全场景监控视图 CCE监控中心提供集群内涵盖基础资源、K8s资源对象、K8s服务组件、K8s集群Node、云原生上层业务等五大类，总计近数十万项指标的全景可观测能力，致力打造一站式运维的极致体验。 集群健康总览：监控中心首页会呈现整个集群中关键的控制面组件信息、资源占用最高的组件等，能让您对集群的健康情况一目了然。 图4 集群健康总览 资源健康总览：监控中心提供了节点、工作负载、POD等Kubernetes资源的独立监控页面。资源监控页面中提供资源的基本监控信息，并且能够纵览对应的资源概况，快速发现异常对象。 图5 资源健康总览 关联资源一屏可见：在监控中心中，在资源监控详情页中能看到关联资源的监控详情，并且可以方便的进行跳转查看（如在看节点监控时可以下钻至节点上的Pod，查看Pod的监控）。 图6 资源监控详情页 监控大盘：监控中心中提供了丰富的监控大盘，从集群、Node、控制组件等不同的视角呈现集群的健康状态。 图7 监控中心仪表盘

开源增强：兼容开源Promtheus，全方位能力提升 Prometheus是CNCF社区推荐的云原生监控方案，也是业界云原生监控的事实标准，它的服务发现、时序数据等能力能够很好地解决云原生场景下多变、海量数据的问题。同时，Prometheus也是用户使用最多的监控工具。 为了更好地符合用户的使用习惯，降低学习成本，CCE提供基于Prometheus开源生态能力的监控组件，兼容Prometheus的开源配置，同时在开源能力基础上对安全、性能、安装部署等方面做了商用增强。 在安全上，使用防护能力更强的华为自研的加密算法，对Prometheus使用的敏感信息进行加密；在性能上，一方面对监控指标进行分层管理，满足不同类型用户的监控诉求，另一方面，降低本地存储数据的时效，有效地降低了用户的资源消耗；在安装部署上，需要用户配置的参数由30+优化至0配置一键安装。 除此之外，针对Prometheus在海量数据下资源消耗巨大的问题，我们还提供了托管Prometheus+轻量化采集Agent的解决方案，用户侧仅需要负担轻量化采集Agent的资源即可支持海量指标监控，同时大大降低了用户的运维复杂度。 对比维度 开源Prometheus CCE监控套件 安全性 认证信息使用base64加密，安全防护弱 认证信息使用华为云自研算法加密，安全防护强 资源消耗 200节点消耗256G内存 200节点消耗8G内存 安装部署 需要准备30+的yaml部署文件 页面一键安装，无需配置 指标管理 指标管理需要后台找到对应的采集任务（CRD）进行配置 监控指标支持通过界面分层管理，基础指标默认启用，高级指标灵活配置（即将上线）

多维诊断：丰富的诊断项，集群全方位体检 CCE集群健康诊断提炼了运维专家提供的高频故障案例，覆盖了集群/核心插件/节点/工作负载/外部依赖等多种维度的健康检查，并且所有的诊断项都给出了风险评级、影响风险、以及修复建议。 集群维度：包括集群运维能力检查，安全组配置检查，集群资源规划检查等诊断项。 图3 集群维度诊断项 核心插件维度：覆盖监控、日志、coredns、存储等核心插件的健康检查。 图4 核心插件维度诊断项 节点维度：包括节点资源负载情况和节点状态诊断。 图5 节点维度诊断项 工作负载维度：包括工作负载配置检查，Pod资源负载检查，Pod状态诊断等。 图6 工作负载维度诊断项 外部依赖维度：主要包括ECS和云硬盘等资源配额检查。 图7 外部依赖维度诊断项

智能分析：智能健康评级，专业修复建议 CCE集群健康诊断会针对故障和潜在风险，给出风险等级并提供修复建议。风险等级按照紧急程度分为高风险和低风险两种： 高风险：说明该诊断项会危及到集群或应用稳定性，可能造成业务损失，需要尽快修复。 低风险：说明该诊断项不符合云原生最佳实践，存在潜在的风险，但是不会马上对业务造成重大影响，建议修复。 在每一次健康诊断完成之后，所有的诊断结果会被汇总分析，并给出最终的集群健康评分，该评分反映了集群的整体健康状况。健康评分较低的集群往往存在较大的故障风险，需要引起集群管理员的高度重视。 图8 健康风险等级评估

案例分析：一次安全组误操作导致的业务故障 CCE作为通用的容器平台，安全组规则的设置适用于通用场景。集群在创建时将会自动为Master节点和Node节点分别创建一个安全组。如果用户不小心误操作了默认安全组中的规则，可能会导致节点网络不通等问题，而且这种问题往往比较难以排除，需要花费较多的时间才能定位到安全组的原因，影响业务恢复速度。这种情况我们可以通过健康中心的巡检功能来进行故障诊断。 例如修改一个集群的默认安全组规则，将Master与Node通信规则，从允许改为拒绝。 图9 修改安全组规则 以上操作会导致集群部分功能异常，如网络不通出现无法执行kubectl命令的问题。 这种问题往往难以排查，会消耗用户大量的时间来寻找根因。此时如果用户在CCE健康中心执行一次健康巡检，会发现安全组高风险巡检项提示： 图10 安全组异常提示 通过诊断详情可以直接定位异常安全组，便于进行针对性修复： 图11 定位异常安全组 整个故障诊断流程方便快捷，可以大幅减低故障排查时间，帮助客户业务更稳定的运行在CCE集群上。

1.17版本集群停止维护公告 发布时间：2022/11/29 根据CCE发布的Kubernetes版本策略中的版本策略，计划从2023年1月31日起，CCE将对1.17版本集群停止维护。在此之后，您仍可以使用您的1.17版本集群，但CCE将不再提供对该版本的技术支持，包含支持新的功能、社区bugfix回合、漏洞修复、升级等。建议您在版本停止维护前及时将集群升级到最新版本，升级操作请参见集群升级。 父主题： 集群版本公告

Helm V2 升级Helm V3 公告 发布时间：2022/08/30 因控制台“模板管理”功能所依赖的开源软件Helm已从 V2 演进至 V3 版本，即日起平台会自动将集群中 Helm V2 格式实例转换为 Helm V3 格式。部分 Helm V2 功能在 Helm V3 上有了更好的解决方案，但可能存在与原有方式不兼容的情况，需要您根据Helm V3 与 Helm V2 的差异及适配方案进行排查并做相应的适配验证。 如您短期内切换到 Helm V3 存在困难，可通过后台 Helm 客户端方式继续管理并部署 Helm V2 实例，操作方法请参见通过 Helm V2 客户端部署应用。为了更好地维护您的权益以及更好地获取运维支撑，请您在2022年12月30日前彻底切换至 Helm V3 管理方式。 父主题： 产品变更公告

ServiceAccount Token安全性提升说明 发布时间：2022/11/24 Kubernetes 1.21及以上版本的集群中，Pod将不再自动挂载永久Token，默认使用TokenRequest API获得Token，并使用投射卷（Projected Volume）挂载到Pod中。 使用这种方法获得的Token具有固定的生命周期（默认有效期为1小时），在到达有效期之前，Kubelet会刷新该Token，保证Pod始终拥有有效的Token，Kubernetes 1.21及以上版本的集群中会默认开启该特性。如果用户使用版本过低的K8s客户端（Client），由于低版本Client并不具备证书轮转能力，会存在证书轮转失效的风险。 详情请参见ServiceAccount Token安全性提升说明。 父主题： 产品变更公告

Kubernetes 1.9的集群版本升级公告 发布时间：2020/12/07 根据CCE发布的Kubernetes版本策略中的版本策略，CCE将在近期停止Kubernetes 1.9的集群版本的维护，为了能够更好地方便您使用云容器引擎服务，确保您使用稳定又可靠的Kubernetes版本，如果您仍在使用1.9.7或1.9.10版本集群，请尽快升级到较新版本集群，CCE预计将在2021年4月30日后关闭对应升级通道，请您务必在此之前升级您的Kubernetes集群。 升级方法请参见集群版本升级说明。 父主题： 集群版本公告

关于CCE集群开放支持Containerd公告 发布时间：2022/12/16 Kubernetes社区已在v1.24版本移除dockershim，默认不再支持Docker运行时。CCE集群从v1.23版本开始全面开放支持Containerd作为容器运行时，当前仍兼容Docker运行时，计划在后续v1.27集群版本中移除对Docker运行时的支持。建议您新建节点时选择Containerd，同时建议将存量节点容器运行时迁移至Containerd，具体操作请参见将节点容器引擎从Docker迁移到Containerd。 Containerd和Docker的对比请参见容器引擎Containerd和Docker。 父主题： 产品变更公告

1.19版本集群停止维护公告 发布时间：2023/07/07 华为云CCE集群1.19版本即将于2023/09/30 00:00（北京时间）正式停止维护，届时针对CCE集群1.19以及之前的版本，华为云将不再支持新集群创建。若您账号下存在1.19及之前的集群版本，为了保证您的服务权益，建议尽快升级到最新的商用版本。关于如何升级集群，请参见CCE集群升级指导。关于CCE集群的版本机制，请参见Kubernetes版本策略。 父主题： 集群版本公告

Redis 4.0/5.0Proxy集群实例 Redis 4.0及以上版本的Proxy集群实例，当前仅部分区域支持，请以控制台实际上线区域为准。 DCS Redis 4.0/5.0 Proxy集群实例基于开源Redis的4.0/5.0版本构建，兼容开源codis，提供4G~1024G多种大容量规格版本。 Proxy集群每种实例规格对应的分片数，如表2所示，在创建实例时，支持自定义分片大小。当前暂时不支持自定义副本数，默认每个分片为双副本架构。 每个分片内存=实例规格/分片数，例如，集群规格为48GB的实例，分片数为6，则每个集群分片的大小为48G/6=8G。 表2 Redis 4.0/5.0Proxy集群实例规格和分片数的对应关系 集群版规格 Proxy节点数 分片数 每个分片内存（GB） 4GB 3 3 1.33 8GB 3 3 2.67 16GB 3 3 5.33 24GB 3 3 8 32GB 3 3 10.67 48GB 6 6 8 64GB 8 8 8 96GB 12 12 8 128GB 16 16 8 192GB 24 24 8 256GB 32 32 8 384GB 48 48 8 512GB 64 64 8 768GB 96 96 8 1024GB 128 128 8 图2 Redis 4.0/5.0Proxy集群实例示意图 实例示意图说明： VPC 虚拟私有云。集群实例的内部所有服务器节点，都运行在相同VPC中。 客户端需要与集群实例处于相同VPC，并且实例白名单允许客户端的IP地址访问。 客户应用程序 客户应用程序，即Redis集群客户端。 Redis可直接使用开源客户端进行连接，关于多语言客户端连接示例，请参考用户指南的连接缓存实例。 VPC终端节点服务 VPC终端节点服务，主要是将Redis缓存实例配置为VPC终端节点支持的服务，用户可以直接通过VPC终端节点服务的地址访问。 Redis Proxy集群实例提供的IP地址和域名，即为VPC终端节点服务的地址。 ELB 弹性负载均衡服务器，采用集群高可用方式，支持多可用区部署。 Proxy Redis集群代理服务器。用于实现Redis集群内部的高可用，以及承接客户端的高并发请求。 暂不支持使用Proxy节点的IP连接集群实例。 Cluster集群 Redis集群的分片。 每个分片也是一个双副本的Redis主备实例，分片上的主实例故障时，系统会自动进行主备切换，集群正常提供服务。 某个分片的主备实例都故障，集群可正常提供服务，但该分片上的数据不能读取。