检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
用的隔离性和安全性。 表1 IAM授权与RBAC授权 授权 说明 IAM授权 对用户组进行IAM授权侧重于对云平台资源的访问管理,通过策略控制每个用户组对具体资源的权限。 IAM更关注云资源的细粒度控制。 RBAC授权 对用户组进行RBAC授权是基于角色的,将权限与角色关联,再将
Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义
用。 操作流程 操作步骤 说明 准备工作 您需要注册华为账号,并为账户充值。 步骤一:首次开通CCE并进行授权 当您的账号在当前区域中首次使用CCE时,您需要为CCE进行授权。 步骤二:创建集群 您需要在CCE服务中创建一个集群,以提供Kubernetes服务。 步骤三:在集群中创建节点池和节点
--kubeconfig=/home/test.config 不可删除test命名空间下的Pod资源。 延伸阅读 更多Kubernetes中的用户与身份认证授权内容,请参见Authenticating。 父主题: 权限
化,需要您重新授权。 以下场景中,可能会出现cce_cluster_agency委托重新授权: CCE组件依赖的权限可能会随版本变动而发生变化。例如新增组件需要依赖新的权限,CCE将会更新期望的权限列表,此时需要您重新为cce_cluster_agency委托授权。 当您手动修改
集群网络模型选择及各模型区别 自研高性能商业版容器网络插件,支持容器隧道网络、VPC网络、云原生网络2.0网络模型: 集群创建成功后,网络模型不可更改,请谨慎选择。 容器隧道网络(Overlay):基于底层VPC网络构建了独立的VXLAN隧道化容器网络,适用于一般场景。VXLAN
载。 操作流程 操作步骤 说明 准备工作 您需要注册华为账号,并为账户充值。 步骤一:首次开通CCE并进行授权 当您的账号在当前区域中首次使用CCE时,您需要为CCE进行授权。 步骤二:创建集群 您需要在CCE服务中创建一个集群,以提供Kubernetes服务。 步骤三:在集群中创建节点池和节点
已购买一个ECS或RDS for MySQL,并且ECS或RDS for MySQL与集群位于同一个区域、不同VPC内,具体操作步骤请参见自定义购买ECS和购买RDS for MySQL实例。 从Pod访问不同的云服务 以在Pod中访问不同VPC网络的ECS和RDS for MySQL为例,介绍Pod如何实现跨VPC通信。
权限 CCE权限概述 集群权限(IAM授权) 命名空间权限(Kubernetes RBAC授权) 示例:某部门权限设计及配置 CCE控制台的权限依赖 ServiceAccount Token安全性提升说明 系统委托说明
- 'mysql < /backup/backup.sql' includedNamespaces: - nginx - mysql namespaceMapping: nginx: nginx-another mysql: mysql-another
kustomize build example -o example.yaml 配置Kubeflow所需存储资源。 katib-mysql mysql-pv-claim minio-pv-claim authservice-pvc 由于Kubeflow在创建时需要配置一些存储资源
将自定义策略授权给cce_cluster_agency委托。 登录IAM控制台,在左侧导航栏中选择“委托”。 找到名为cce_cluster_agency的委托,并单击“授权”。 搜索CCE Subscribe Operator自定义策略并勾选,单击“下一步”。 根据需求选择授权范围方案,默认选择“所有资源”。
使用华为云账号或者具有管理员权限的账号登录IAM管理控制台,在左侧导航栏中选择“用户”。 在IAM用户页签查找出现报错的用户名,单击用户名右侧的“授权”。 选择相应的权限后,单击“确定”,提交授权。 当前账号未被授予该操作所需的IAM权限 问题现象 当您访问控制台时,出现报错“权限不足”,错误码:CCE.01403001。
前提条件 开通监控中心前,用户需要使用具有admin用户组的账户完成对CCE及其依赖服务的委托授权。 授权方式:监控中心页面自动弹出“确认授权”页面,用户单击“确认授权”按钮后系统自动完成授权。所授予的权限类型请参考云原生观测委托权限说明。 约束与限制 集群版本仅支持v1.17及以上。
开通云原生成本治理前,用户需要使用具有admin用户组的账户完成对CCE及其依赖服务的委托授权。 授权方式:用户进入云原生成本治理页面,界面会自动弹出“确认授权”页面,用户单击“确认授权”按钮后系统自动完成授权。所授予的权限类型请参考表1。 表1 资源权限 授权类型 权限名称 描述 CCE IAM ReadOnlyAccess
限。 解决方法 给该用户授权Kubernetes权限,具体方法如下。 登录CCE控制台,在左侧导航栏中选择“权限管理”。 在右边下拉列表中选择要添加权限的集群。 在右上角单击“添加权限”,进入添加权限页面。 在添加权限页面,确认集群名称,选择该集群下要授权使用的命名空间,例如选择
其他账户:授权其他账户下的特定IAM账户。 其他账户 XXX(账户ID)/XXX(IAM ID) 授权资源 用于指定授权的资源范围。 整个桶(包括桶内对象):允许被授权账户对整个桶和桶内的所有对象进行操作。 当前桶:仅允许被授权账户对整个桶进行操作。 指定对象:仅允许被授权账户对桶内特定对象进行操作。
ret。 容器启动命令 启动容器就是启动主进程,但有些时候,启动主进程前,需要一些准备工作。比如MySQL类的数据库,可能需要一些数据库配置、初始化的工作,这些工作要在最终的MySQL服务器运行之前做完。这些操作,可以在制作镜像时通过在Dockerfile文件中设置ENTRYPO
Service直接访问Pod的真实IP地址,实现Pod间互相访问。 Headless Service一般结合StatefulSet来部署有状态的应用,比如Redis集群、MySQL集群等。 父主题: 其他
登录云容器引擎(CCE)控制台,单击集群名称进入集群,选择左侧导航栏的“日志中心”。 未进行授权的用户需要先授权,已授权的用户直接跳转下一步。 在弹出框中单击“确认授权”。 图1 添加授权 页面单击“开启”,等待约30秒后,页面自动跳转。 图2 开启 采集容器标准输出:开启后,将
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
