检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
及资源使用情况对集群的工作节点进行自动扩容缩容。 CCE容器弹性引擎 CCE容器弹性引擎插件是一款CCE自研的插件,能够基于CPU利用率、内存利用率等指标,对无状态工作负载进行弹性扩缩容。 CCE突发弹性引擎(对接CCI) CCE突发弹性引擎(对接CCI)是基于社区Virtual
项目ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 账号的项目ID 默认取值: 不涉及 cluster_id 是 String 参数解释: 集群ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 集群ID 默认取值: 不涉及
项目ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 账号的项目ID 默认取值: 不涉及 cluster_id 是 String 参数解释: 集群ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 集群ID 默认取值: 不涉及
CCE中使用x86和ARM双架构镜像 使用SWR触发器自动更新工作负载版本 插件高可用部署 应用容器化改造 工作负载参数配置实践 容器网络带宽限制的配置建议 使用hostAliases参数配置Pod的/etc/hosts文件 容器与节点时区同步 在CCE Turbo集群中配置Pod延时启动参数
C及子网,并将多个子网分别共享给其他账号: 账号A为企业业务账号,使用子网1创建资源。 账号B为企业业务账号,使用子网2创建资源。 约束与限制 当前仅CCE Turbo集群支持共享VPC特性。 使用共享VPC创建的集群不支持使用共享ELB及NAT网关功能。 使用共享VPC创建的集
示例:某部门权限设计及配置 概述 随着容器技术的快速发展,原有的分布式任务调度模式正在被基于Kubernetes的技术架构所取代。云容器引擎(Cloud Container Engine,简称CCE)是高度可扩展的、高性能的企业级Kubernetes集群,支持社区原生应用和工具。借助云容
inux(x86、ARM)环境中运行,因此您可以任选一种架构的服务器作为操作服务器。该服务器需要至少拥有5GB左右的本地磁盘空间和≥8G的内存,以确保工具可以正常运行,并存储相关数据。 工具获取 在安装了kubectl的服务器上下载以下工具: 工具 说明 下载链接 k8clone
od,为默认策略。 Recreate:替换升级,即先把当前Pod删掉再重新创建Pod。 图1 工作负载升级策略 升级参数说明 参数 说明 限制 最大浪涌(maxSurge) 与spec.replicas相比,可以有多少个Pod存在,默认值是25%。 比如spec.replicas为
ccomp,建议配置RuntimeDefault模式或者禁用unshare等系统调用。具体配置方法可参考社区官方资料使用 Seccomp 限制容器的系统调用。 Ubuntu镜像自带openvswitch内核模块,可以通过将禁止加载openvswitch 内核模块来规避。操作如下:
kubelet服务端口,提供节点上工作负载的监控信息和容器的访问通道 10255 TCP kubelet只读端口,提供节点上工作负载的监控信息 动态端口(与宿主机限制的范围有关,比如 内核参数 net.ipv4.ip_local_port_range) TCP kubelet 随机监听一个端口,与CRI
通过给集群使用的资源打上CCE-Cluster-ID标签,在成本中心通过标签过滤汇聚整个集群所使用资源的成本,以集群为单位进行成本分析,降本增效。 约束与限制 应用在资源上的标签,一般在创建并产生费用24小时后才会在“成本标签”页面展示。 成本标签激活后,才能在分析成本数据时通过标签进行过滤或汇
及以上版本 v1.27集群:v1.27.6-r0 及以上版本 v1.28集群:v1.28.4-r0 及以上版本 其他更高版本的集群 约束与限制 创建灰度Ingress后,不应删除原Ingress。 单个ELB下的监听器,如果关联的多个Ingress配置了多个灰度策略,按HTTP请
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务后,系统将开始记录CCE资
台关注的是服务的使用。 对于技术实现来看,应用管理与运维平台是对云容器引擎的再一次封装。 基础概念 云容器引擎(CCE) 云容器引擎(Cloud Container Engine,简称CCE)提供高度可扩展的、高性能的企业级Kubernetes集群,支持运行Docker容器,提供
capabilities: drop: ["DAC_OVERRIDE"] 通过使用集群Pod安全策略或其他admission准入机制限制以root用户启动容器,或设置参数allowPrivilegeEscalation为false: securityContext:
29集群:v1.29.3-r0及以上版本 其他更高版本的集群 您需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。 约束与限制 在CCE Standard集群中,当Service服务亲和类型配置成节点级别(即externalTrafficPolicy配置为Loca
number of condition for per policy must be no larger than 10. 由于ELB的API限制,使用高级转发规则时,每一条转发策略中设置的域名、路径、HTTP请求方法、HTTP请求头、查询字符串、网段、Cookie所有类型的转发规则
使用kubectl对接已有云硬盘 约束与限制 如下配置示例适用于Kubernetes 1.13及以下版本的集群。 操作步骤 登录EVS控制台,创建一个EVS云硬盘,记录云硬盘的VolumeID、容量和磁盘类型。 请参见通过kubectl连接集群,使用kubectl连接集群。 新建
降低权限:以非root用户运行容器可以降低潜在安全风险,因为即使容器被攻击,攻击者也无法获得宿主机的完全控制权。 限制访问:非root用户通常具有有限的权限,这限制了它们对宿主机资源的访问和操作能力。 除了Dockerfile,您还可以在Kubernetes的podSpec中使用
21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 支持v1.30集群 安全加固:将插件使用的查询secret的权限限制在monitoring命名空间 1.5.2 v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 新增创建容器日志默认日志流时索引功能
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
