检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
示例:使用策略中心实现Kubernetes资源合规性治理 假设您是一家大型企业的平台工程师,负责整个基础设施环境的安全策略配置和管理,确保企业多个团队使用集群资源的合规性。利用UCS策略中心,您可以: 创建统一的策略实例:使用UCS策略中心创建一个统一的策略实例,包含所有团队需要遵循的安全和合规规定。这样一来,
发布管理预置滚动升级模板,本节将指导您基于滚动升级模板,添加滚动升级插件,配置发布策略。 UCS流水线目前仅支持预置滚动升级模板。 在环境详情页面,单击“发布策略”。 图1 发布策略 单击在自定义策略右侧的号,然后在弹出的新建策略窗口中,根据需要选择策略模板,单击“确定”。 图2
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
Chart资源、Kustomize等资源交付清单的版本管理,方便用户进行部署应用、增量变化和应用配置的回滚。 更精细的多集群、多环境差异化配置体验: 复用同一个应用组件(如多个业务线都对数据库的连接池模板复用)的交付模板,形成最佳实践模板。 进行更灵活的标签替换、字符串、版本号替换/参数的动态嵌入/Patch操作。
符合策略实例的资源定义 示例中apparmor的值在上述定义的允许范围内,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: nginx-apparmor-allowed annotations: # apparmor.security
apiVersion: apps/v1 kind: Deployment metadata: name: gpu labels: app: gpu spec: selector: matchLabels: app: gpu replicas:
noupdateserviceaccount 合规 L1 Pod allowedGroups:数组 allowedUsers:数组 k8simagedigests 合规 L1 Pod exemptImages:字符串数组 k8sexternalips 合规 L1 Service allowedIPs:字符串数组
在容器舰队或集群的策略详情页,可以查看策略实施详情和状态,以及舰队或集群的不合规资源、告警事件和强制拦截事件的情况。您可以根据这些数据评估集群的合规情况,并及时采取修复措施。 图2 策略实施详情 当前,不合规资源统计的上报时间大约在15至30分钟之间。 如果下发策略实例后未对违规资
kind: Deployment apiVersion: apps/v1 metadata: name: policy-test namespace: kube-system labels: app: policy-test spec: replicas:
k8spspautomountserviceaccounttokenpod 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数:无 作用 约束容器不能设置automountServiceAccountToken为true。 策略实例示例 示例声明了match匹配
k8srequiredannotations 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:* 参数: annotations: 键值对数组,key/ allowedRegex key: a8r.io/owner # Matches email address
k8sblockendpointeditdefaultrole 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:ClusterRole 参数:无 作用 默认情况下,许多Kubernetes都预定义了一个名为system:aggregate-to-edit的ClusterR
kubectl配置指南 下载kubectl 请到Kubernetes版本发布页面下载1.25版本对应的kubectl。 Apple M1芯片是darwin-arm64架构,如果使用Apple M1芯片的设备,需要下载对应架构的kubectl。 下载asm-iam-authenticator 在
k8sdisallowanonymous 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:RoleBinding、ClusterRoleBinding 参数: allowedRoles:字符串数组 作用 不允许将白名单以外的ClusterRole和Role关联到system:anonymous
Replicas设为了3,符合策略实例。 apiVersion: apps/v1 kind: Deployment metadata: name: allowed-deployment spec: selector: matchLabels: app: nginx replicas:
k8srequiredresources 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: exemptImages:字符串数组 limits cpu memory requests cpu memory 作用 约束容器资源使用。 策略实例示例
Service metadata: name: allowed-external-ip spec: selector: app: MyApp ports: - name: http protocol: TCP port: 80
k8srequiredlabels 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:* 参数: labels: 键值对数组,key/ allowedRegex key: a8r.io/owner # Matches email address or github
k8sblockloadbalancer 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数:无 作用 不允许Service为LoadBalancer类型。 策略实例示例 apiVersion: constraints.gatekeeper.sh/v1beta1
k8sblocknodeport 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数:无 作用 不允许Service为NodePort类型。 策略实例示例 apiVersion: constraints.gatekeeper.sh/v1beta1 kind:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
