云服务器内容精选

华为云首页 用户手册

策略
  • 华为云UCS-配置FederatedHPA策略以控制扩缩速率:为什么需要控制扩缩速率
    为什么需要控制扩缩速率 HPA controller默认的扩缩容总原则是:快速扩容,低速缩容。然而,若仅依靠配置稳定窗口时长,在窗口时长过后即失去了对扩缩容速率的控制能力,无法真正实现对扩缩容速率的准确控制。您可以通过配置负载伸缩策略的YAML文件中spec的behavior结构,来更准确灵活地控制FederatedHPA的自动扩缩速度。该结构支持为每个FederatedHPA策略独立配置扩缩容速率,以及为扩容与缩容配置不同的速率。
    华为云UCS FederatedHPA策略
  • 华为云UCS-CronFederatedHPA工作原理:单独使用CronFederatedHPA
    单独使用CronFederatedHPA 当不使用FederatedHPA策略,仅使用CronFederalHPA策略时,CronFederalHPA策略直接作用于工作负载,定时扩缩Pod数量。您可以通过设置CronFederalHPA策略的生效时间与目标Pod数,实现在固定时间段将工作负载自动扩缩至期望数量。 图2 单独使用CronFederatedHPA策略工作原理 具体流程为: 创建CronFederalHPA策略,设置CronFederatedHPA的生效时间与目标Pod数。 生效时间:CronFederalHPA策略会在该生效时间自动触发工作负载扩缩。 目标Pod数:在到达生效时间时,所期望的Pod数。 到达生效时间时,比较工作负载中的现有Pod数与1中设置的目标Pod数:目标Pod数大于现有Pod数时扩容工作负载,目标Pod数小于现有Pod数时缩容工作负载。 现有Pod数:CronFederatedHPA策略生效之前,工作负载中的Pod数量。
    华为云UCS CronFederatedHPA策略
  • 华为云UCS-启用策略中心:约束与限制
    约束与限制 仅华为云账号或具备U CS FullAccess权限的用户可进行策略中心的启用操作。 为非华为云集群启用策略中心前,请确保集群能够拉取公网镜像。 启用策略中心功能后,系统将在舰队或集群上安装Gatekeeper插件。需要注意的是,插件会占用部分集群资源(如表1所示)。因此,在启用策略中心功能之前,请确保您的集群具有足够的资源。这将有助于确保策略中心功能的顺利部署,同时避免对现有工作负载的性能产生负面影响。 表1 Gatekeeper插件的资源占用情况 CPU Mem Requests:100m * 3 Limits:1000m * 3 Requests:256Mi * 3 Limits:512Mi * 3 “* 3”表示有3个Pod。 当舰队或集群处于启用中的状态时,请避免在该舰队或集群上执行任何操作。在启用过程中执行操作可能会影响启用的成功。
    华为云UCS 策略中心
  • 华为云UCS-启用策略中心:操作步骤
    操作步骤 登录UCS控制台,在左侧导航栏中选择“策略中心”。 单击页面中的“启用”按钮,弹出“启用策略管理功能”对话框。 在下拉列表中选择容器舰队或集群,单击“确定”,返回主页面。 您将会看到舰队或集群的策略管理状态显示为启用中。请耐心等待大约3分钟,策略管理将成功启用。 如果在启用策略管理功能时出现“The thorttling threshold has been reached: policy ip over ratelimit”,说明因为启用集群较多被限流了,请稍等一会再重试即可。
    华为云UCS 策略中心
  • 华为云UCS-noupdateserviceaccount:策略实例示例
    策略实例示例 以下策略实例展示了策略定义生效的资源类型,pararmeters中定义了允许的组列表allowedGroups和允许的用户列表allowedUsers。 # IMPORTANT: Before deploying this policy, make sure you allow-list any groups # or users that need to deploy workloads to kube-system, such as cluster- # lifecycle controllers, addon managers, etc. Such controllers may need to # update service account names during automated rollouts (e.g. of refactored # configurations). You can allow-list them with the allowedGroups and # allowedUsers properties of the NoUpdateServiceAccount Constraint. apiVersion: constraints.gatekeeper.sh/v1beta1 kind: NoUpdateServiceAccount metadata: name: no-update-kube-system-service-account spec: match: namespaces: ["kube-system"] kinds: - apiGroups: [""] kinds: # You can optionally add "Pod" here, but it is unnecessary because # Pod service account immutability is enforced by the Kubernetes API. - "ReplicationController" - apiGroups: ["apps"] kinds: - "ReplicaSet" - "Deployment" - "StatefulSet" - "DaemonSet" - apiGroups: ["batch"] kinds: # You can optionally add "Job" here, but it is unnecessary because # Job service account immutability is enforced by the Kubernetes API. - "CronJob" parameters: allowedGroups: [] allowedUsers: []
    华为云UCS 使用策略定义库
  • 华为云UCS-noupdateserviceaccount:符合策略实例的资源定义
    符合策略实例的资源定义 没有更新ServiceAccount,符合策略实例。 # Note: The gator tests currently require exactly one object per example file. # Since this is an update-triggered policy, at least two objects are technically # required to demonstrate it. Due to the gator requirement, we only have one # object below. The policy should allow changing everything but the # serviceAccountName field. kind: Deployment apiVersion: apps/v1 metadata: name: policy-test namespace: kube-system labels: app: policy-test spec: replicas: 1 selector: matchLabels: app: policy-test-deploy template: metadata: labels: app: policy-test-deploy spec: # Changing anything except this field should be allowed by the policy. serviceAccountName: policy-test-sa-1 containers: - name: policy-test image: ubuntu command: - /bin/bash - -c - sleep 99999
    华为云UCS 使用策略定义库
  • 华为乾坤-配置异常登录策略:背景信息
    背景信息 智能终端安全服务会根据配置的异常登录策略判断终端上是否存在非法登录行为,对不在该策略内的登录行为进行告警,并提供处置方式。租户通过配置异常登录策略,管理相应终端的登录行为。 当终端安装HiSec Endpoint Agent后,用户首次成功登录终端,如果此时未配置异常登录策略,HiSec Endpoint Agent不会触发告警,并且首次成功登录的IP地址及该时间点往后顺延24小时内的所有公网登录地址都会被云端识别为合法登录地址;如果已配置异常登录策略,未配置在异常登录策略中的登录行为均被认为是非法登录行为。
    华为乾坤 配置威胁事件防护策略
  • 资源治理中心 RGC-可选控制策略:WAF
    WAF 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_ RFS _WAF_GLOBAL_ACL_NOT_EMPTY_CHECK 要求任何WAF全局ACL拥有规则。 限制网络访问 中 waf:::ruleGlobalProtectionWhitelist 不涉及 RGC-GR_RFS_WAF_RULEGROUP_NOT_EMPTY_CHECK 要求WAF规则组为非空。 限制网络访问 中 waf:::addressGroup 不涉及
    资源治理中心 RGC 控制策略参考
  • 资源治理中心 RGC-可选控制策略:VPC
    VPC 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_EIP_UNBOUND_CHECK 弹性公网IP未进行任何绑定,视为“不合规”。 优化成本 中 vpc:::eipAssociate 不涉及 RGC-GR_CONFIG_VPC_FLOW_ LOG S_ENABLED 检查是否为VPC启用了流日志,如果该VPC未启用流日志,视为“不合规”。 建立日志记录和监控 中 vpc:::flowLog 不涉及 RGC-GR_CONFIG_EIP_BANDW IDT H_LIMIT 弹性公网IP可用带宽小于指定参数值,视为“不合规” 提高可用性 中 vpc:::eip 是 RGC-GR_RFS_VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS_CHECK 要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于80和443以外的端口。 限制网络访问 高 networking:::secgroupRule 不涉及 RGC-GR_RFS_VPC_SG_RESTRICTED_COMMON_PORTS_CHECK 要求任何VPC安全组规则不将源IP范围0.0.0.0/0或::/0用于特定的高风险端口。 限制网络访问 严重 networking:::secgroupRule 不涉及
    资源治理中心 RGC 控制策略参考
  • 资源治理中心 RGC-可选控制策略:VPN
    VPN 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_VPN_CONNECTIONS_ACTIVE VPN连接状态不为“正常”,视为“不合规”。 提高可用性 中 vpnaas:::siteConnectionV2 不涉及 RGC-GR_VPN_CONNECTION_PROHIBITED 不允许订阅 虚拟专用网络 。 保护配置 严重 vpn:::connection vpn:::gateway vpn:::customerGateway 不涉及
    资源治理中心 RGC 控制策略参考
  • 资源治理中心 RGC-可选控制策略:TaurusDB
    TaurusDB 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_AUDITLOG 未开启审计日志的TaurusDB资源,视为“不合规”。 建立日志记录和监控 中 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_BACKUP 未开启备份的TaurusDB资源,视为“不合规”。 提高韧性 中 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_ERRORLOG 未开启错误日志的TaurusDB资源,视为“不合规”。 建立日志记录和监控 低 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_ENABLE_SLOWLOG 未开启慢日志的TaurusDB资源,视为“不合规”。 建立日志记录和监控 低 gaussdb:::mysqlInstance 不涉及 RGC-GR_CONFIG_GAUSSDB_MYSQL_INSTANCE_MULTIPLE_AZ_CHECK TaurusDB实例未跨AZ部署,视为“不合规”。 提高可用性 中 gaussdb:::mysqlInstance 不涉及
    资源治理中心 RGC 控制策略参考
  • 资源治理中心 RGC-可选控制策略:TMS
    TMS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_REQUIRED_ALL_TAGS 指定标签列表,不具有所有指定标签键的资源,视为“不合规”。 保护配置 低 tms:::resourceTags TagKeys:是 TagValues:否 RGC-GR_CONFIG_REQUIRED_TAG_CHECK 指定一个标签,不具有此标签的资源,视为“不合规”。 保护配置 低 tms:::resourceTags specifiedTagKey:是 specifiedTagValue:否 RGC-GR_CONFIG_REQUIRED_TAG_EXIST 指定标签列表,不具有任一指定标签的资源,视为“不合规”。 保护配置 低 tms:::resourceTags TagKeys:是 TagValues:否 RGC-GR_CONFIG_RESOURCE_TAG_KEY_PREFIX_SUFFIX 指定前缀和后缀,资源不具有任意匹配前后缀的标签键,视为“不合规”。 保护配置 低 tms:::resourceTags tagKeyPrefix:否 tagKeySuffix:否 RGC-GR_CONFIG_RESOURCE_TAG_NOT_EMPTY 资源未配置标签,视为“不合规”。 保护配置 低 tms:::resourceTags 不涉及
    资源治理中心 RGC 控制策略参考
  • 资源治理中心 RGC-可选控制策略:OBS、Access Analyzer
    OBS、Access Analyzer 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_OBS_BUCKET_BLACKLISTED_ACTIONS_PROHIBITED OBS桶策略中授权任意禁止的action给外部身份,视为“不合规”。 强制执行最低权限 高 obs:::bucket 否 RGC-GR_CONFIG_OBS_BUCKET_SSL_REQUESTS_ONLY OBS桶策略授权了无需SSL加密的行为,视为“不合规”。 加密传输中的数据 中 obs:::bucket 不涉及
    资源治理中心 RGC 控制策略参考
  • 资源治理中心 RGC-可选控制策略:OBS
    OBS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_RFS_OBS_BUCKET_DEFAULT_ENCRYPTION_KMS_CHECK 要求OBS存储桶使用KMS密钥配置服务器端加密。 加密静态数据 中 obs:::bucket 不涉及 RGC-GR_RFS_OBS_BUCKET_VERSIONING_ENABLED_CHECK 要求OBS存储桶启用版本控制。 提高可用性 低 obs:::bucket 不涉及 RGC-GR_RFS_OBS_BUCKET_LOGGING_ENABLED_CHECK 要求OBS存储桶配置服务器访问日志记录。 建立日志记录和监控 中 obs:::bucket 不涉及 RGC-GR_RFS_OBS_BUCKET_MULTIPLE_AZ_CHECK 要求OBS桶配置多个可用区以实现高可用性。 提高可用性 低 obs:::bucket
    资源治理中心 RGC 控制策略参考
  • 资源治理中心 RGC-可选控制策略:RDS
    RDS 控制策略名称 功能 场景 严重程度 资源 规则参数是否必填 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_BACKUP 未开启备份的rds资源,视为“不合规”。 提高韧性 中 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_ERRORLOG 未开启错误日志的rds资源,视为“不合规”。 建立日志记录和监控 低 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_SLOWLOG 未开启慢日志的rds资源,视为“不合规”。 建立日志记录和监控 低 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_LOGGING_ENABLED 未配备任何日志的rds资源,视为“不合规”。 建立日志记录和监控 中 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_MULTI_AZ_SUPPORT RDS实例仅支持一个可用区,视为“不合规”。 提高可用性 中 rds:::instance 不涉及 RGC-GR_CONFIG_ALLOWED_RDS_FLAVORS RDS实例的规格不在指定的范围内,视为“不合规”。 保护配置 低 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTAN CES _IN_VPC 指定虚拟私有云ID,不属于此VPC的rds资源,视为“不合规”。 限制网络访问 高 rds:::instance 否 RGC-GR_CONFIG_RDS_INSTANCE_ENABLE_AUDITLOG 未启用审计日志或者审计日志保存天数不足的rds资源,视为“不合规”。 建立日志记录和监控 中 rds:::instance 不涉及 RGC-GR_CONFIG_RDS_INSTANCE_ENGINE_VERSION_CHECK RDS实例数据库引擎的版本低于指定版本,视为“不合规”。 管理漏洞 低 rds:::instance postgresqlVersion:否 mariadbVersion:否 mysqlVersion:否 sqlserverVersion:否 RGC-GR_RFS_RDS_INSTANCE_DEPLOYED_IN_VPC_CHECK 要求RDS数据库实例具有VPC配置。 限制网络访问 高 rds:::instance 不涉及 RGC-GR_RFS_RDS_DB_SECURITY_GROUP_NOT_ALLOWED_CHECK 要求RDS实例配置数据库安全组。 限制网络访问 中 rds:::instance 不涉及 RGC-GR_RFS_RDS_INSTANCE_MULTIPLE_AZ_CHECK 要求为RDS实例配置多个可用区以实现高可用性。 提高可用性 中 rds:::instance 不涉及 RGC-GR_RFS_RDS_INSTANCE_TLS_CHECK 要求RDS实例需要为支持的引擎类型提供传输层安全性协议(TLS)连接。 加密传输中的数据 中 rds:::instance 不涉及 RGC-GR_RFS_RDS_INSTANCE_BACKUP_ENABLED_CHECK 要求RDS实例配置自动备份 提高韧性 中 rds:::instance 不涉及
    资源治理中心 RGC 控制策略参考
更多精彩内容
CDN加速 GaussDB 文字转换成语音 免费的服务器 如何创建网站 域名网站购买 私有云桌面 云主机哪个好 域名怎么备案 手机云电脑 SSL证书申请 云点播服务器 免费OCR是什么 电脑云桌面 域名备案怎么弄 语音转文字 文字图片识别 云桌面是什么 网址安全检测 网站建设搭建 国外CDN加速 SSL免费证书申请 短信批量发送 图片OCR识别 云数据库MySQL 个人域名购买 录音转文字 扫描图片识别文字 OCR图片识别 行驶证识别 虚拟电话号码 电话呼叫中心软件 怎么制作一个网站 Email注册网站 华为VNC 图像文字识别 企业网站制作 个人网站搭建 华为云计算 免费租用云托管 云桌面云服务器 ocr文字识别免费版 HTTPS证书申请 图片文字识别转换 国外域名注册商 使用免费虚拟主机 云电脑主机多少钱 鲲鹏云手机 短信验证码平台 OCR图片文字识别 SSL证书是什么 申请企业邮箱步骤 免费的企业用邮箱 云免流搭建教程 域名价格
策略

搜索反馈

您找到想要的内容了吗?

是的 没有

意见反馈

0/200

提交 取消

提交成功!非常感谢您的反馈,我们会继续努力做到更好 反馈提交失败!请稍后重试!
为您推荐
L实例 什么是云手机 云手机游戏 智能建站系统 net域名注册 PDF文字识别OCR VPS服务器 免费服务器 OBS是什么意思 CTAN镜像下载 域名是什么