检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要调用接口来查询云服务器列表,那么这个IAM用户被授予的策略中必须包含允许“ecs:servers:list”的授权项,该接口才能调用成功。 IAM支持的授权项 策略包含系
同步云服务器 操作场景 集群中的每一个节点对应一台云服务器,集群节点创建成功后,您仍可以根据需求,修改云服务器的名称或变更规格。由于规格变更对业务有影响,建议一台成功完成后再对下一台进行规格变更。 CCE节点的部分信息是独立于弹性云服务器ECS维护的,当您在ECS控制台修改云服务
命名空间权限(Kubernetes RBAC授权) 命名空间权限(kubernetes RBAC授权) 命名空间权限是基于Kubernetes RBAC能力的授权,通过权限设置可以让不同的用户或用户组拥有操作不同Kubernetes资源的权限。Kubernetes RBAC AP
间权限中配置。 ecs:*:get - ECS(弹性云服务器)所有资源详情的查看权限。 CCE中的一个节点就是具有多个云硬盘的一台弹性云服务器 ecs:*:list - ECS(弹性云服务器)所有资源列表的查看权限。 bms:*:get* - BMS(裸金属服务器)所有资源详情的查看权限。
认证与授权 ServiceAccount RBAC
修改云服务器的企业项目 云服务器组不一致 将云服务器的云服务器组修改成与节点池的云服务器组一致。 修改云服务器的云服务器组 修改云服务器的规格 待纳管云服务器规格需修改成节点池中包含的规格。 更多操作指导请参见ECS变更规格通用操作。 登录ECS控制台。 单击目标云服务器名称,
使用Kubectl命令进行命名空间RBAC授权 应用现状 CCE的权限控制分为集群权限和命名空间权限两种权限范围,其中命名空间权限是基于Kubernetes RBAC能力的授权,可以对集群和命名空间内的资源进行授权。 当前,在CCE控制台,命名空间权限默认提供cluster-ad
RBAC RBAC资源 Kubernetes中完成授权工作的就是RBAC机制,RBAC授权规则是通过四种资源来进行配置。 Role:角色,其实是定义一组对Kubernetes资源(命名空间级别)的访问规则。 RoleBinding:角色绑定,定义了用户和角色的关系。 Cluste
需要经过认证与授权。 Authentication:用于识别用户身份的认证,Kubernetes分外部服务账号和内部服务账号,采取不同的认证机制,具体请参见认证与ServiceAccount。 Authorization:用于控制用户对资源访问的授权,对访问的授权目前主要使用RBAC机制,将在RBAC介绍。
您的业务造成更大的影响,系统会对受影响的ECS实例生成云服务器事件并进行上报,例如实例重部署、系统维护等。 您可以在弹性云服务器ECS控制台管理云服务器事件,详情请参考弹性云服务器事件概述。 使用场景 云服务器事件处理过程中可能出现云服务器不可用等现象,影响对应Node节点和Po
负载均衡器配置:后端云服务器组 后端云服务器组的负载均衡算法 服务对接的后端实例会在一个后端云服务器组中,此参数支持配置后端云服务器组的负载均衡算法。 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.lb-algorithm
Kubernetes kubelet和kube-proxy授权问题漏洞公告(CVE-2020-8558) 漏洞详情 Kubernetes官方发布安全公告,其核心组件kube-proxy存在主机边界绕过漏洞(CVE-2020-8558)。利用漏洞攻击者可能通过同一局域网下的容器,或
2024-07-25 漏洞影响 受影响版本中,攻击者可以使用Content-Length设置为0的API请求绕过权限检查,导致Docker守护进程将没有正文的请求转发到AuthZ插件,进而导致未授权操作和权限提升。未使用AuthZ插件或运行旧版Docker Engine的用户不易受到影响。
如果需要弹性扩容权限,需要设置AOM FullAccess权限。 如果需要转包周期,需要设置BSS Administrator权限。 节点管理 弹性云服务器 ECS 当IAM用户权限为CCE Administrator时,如果创建和删除节点,需要配置ECS FullAccess或ECS Administrator权限,以及VPC
Standard/CCE Turbo 会话保持配置参数,选择HTTP_COOKIE的会话保持模式时,设置会话保持时间persistence_timeout;选择APP_COOKIE的会话保持模式时,设置app_cookie_name。 Ingress中配置的全局会话保持可以被服务中的会话保持模式覆盖。
于命名空间权限的设置情况,如果没有设置命名空间权限,则无法查看集群下的资源。 集群权限(IAM系统策略授权) 默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。
节点时钟同步服务器检查异常处理 检查项内容 检查节点时钟同步服务器ntpd或chronyd是否运行正常。 解决方案 问题场景一:ntpd运行异常 请登录该节点,执行systemctl status ntpd命令查询ntpd服务运行状态。若回显状态异常,请执行systemctl restart
为ELB Ingress配置服务器名称指示(SNI) SNI证书是一种扩展服务器证书,允许同一个IP地址和端口号下对外提供多个访问域名,可以根据客户端请求的不同域名来使用不同的安全证书,确保HTTPS通信的安全性。 在配置SNI时,用户需要添加绑定域名的证书,客户端会在发起SSL
还提供大量安全隧道功能、多种身份验证方法和复杂的配置选项,是远程服务器管理和安全数据通信的必备工具。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 权限提升 CVE-2024-6387 严重 2024-07-01 漏洞影响 该漏洞是由OpenSSH服务器 (sshd) 中的信号处理程
vi daemonSet.yaml Yaml示例如下: spec.spec.containers.lifecycle字段是指容器启动后执行设置的命令。 kind: DaemonSet apiVersion: apps/v1 metadata: name: daemonset-test