检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
此漏洞允许恶意攻击者发起针对HTTP/2 服务器的DDoS攻击,使用 HEADERS 和 RST_STREAM发送一组HTTP请求,并重复此模式以在目标 HTTP/2 服务器上生成大量流量。通过在单个连接中打包多个HEADERS和RST_STREAM帧,显著提升每秒请求量,提升服务器上的CPU利用
连接池 在更新流量策略内容时,可选择是否开启。 目的是断开超过阈值的连接和请求,保护目标服务。 通过连接池管理可以配置阈值来防止一个服务的失败级联影响到整个应用。连接池设置应用于上游服务的每个实例,可以应用在TCP级别和HTTP级别。 通过连接池管理可以控制service1服务对目标服务service2的请求:
应用场景 对于金融行业用户,新兴互联网业务的快速发展和业务数据的高敏感性是一对既有的矛盾,而现有的混合云架构是解决这一矛盾的较优解决方案。而在实际落地场景中,这样的结构依旧存在一些痛点亟待解决。 痛点一:业务部署分散,无法极速扩容和大规模治理,难以有效应对高峰期的流量冲击。 痛点二
华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。 租户
头域控制 开启头域控制,可以灵活增加、修改和删除指定HTTP头域,非侵入方式管理请求内容。只支持路由上的头域操作,暂不支持对于特定后端的头域操作。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService
“我的订阅”页签。 在已订阅的服务中选择目标服务,单击“退订”,如图1所示。 图1 退订服务 弹出的“退订”窗口中将会显示该服务已有的实例和该服务的依赖关系,退订后将完全删除该服务已有实例,请您务必仔细确认。 如您确认退订,请在输入框中输入Unsubscribe ,并单击“确认”
hostNetwork: max: 整型 min: 整型 作用 约束PodSecurityPolicy中的“hostNetwork”和“hostPorts”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中hostNetwork为true时,使用的端口必须在指定的端口范围内。
要求Pod具有Readiness或Liveness Probe。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters展示了probes的类型和probeTypes。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sRequiredProbes
终端节点(Endpoint) 终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点查询服务的终端节点。 UCS的终端节点如下表所示,请您根据业务需要选择对应区域的终端节点。 表1 UCS的终端节点 区域名称 区域 终端节点(Endpoint)
k8spspfsgroup 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: rule: 字符串,支持MayRunAs、MustRunAs和RunAsAny ranges max: 整型 min: 整型 作用 控制PodSecurityPolicy中的“fsGroup”字段在限制范围内。
拒绝白名单外的资源更新ServiceAccount。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中定义了允许的组列表allowedGroups和允许的用户列表allowedUsers。 # IMPORTANT: Before deploying this policy, make sure
cs数据格式转换成K8s API接口能识别的格式。kube-state-metrics组件在默认配置下,不采集K8s资源的所有labels和annotation。如需采集则需要在启动参数中修改采集配置,并同时检查名称为kube-state-metrics的ServiceMonitor中采集白名单是否添加相应指标。
使用参考 asm-iam-authenticator作为k8s client端的认证插件,主要提供了generate-kubeconfig和token两个子命令。 A tool to authenticate to ASM using HuaweiCloud IAM credentials
理非终结的TLS和HTTPS的流量,使用SNI(Server Name Indication),即客户端在TLS握手阶段建立连接使用的服务Host名做路由选择。 下图中,service1服务对service2服务的访问会自动启用双向认证,对service1服务和service2服
获取项目ID的接口为“GET https://{Endpoint}/v3/projects”,其中{Endpoint}为IAM的终端节点,可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权。 响应示例如下,其中projects下的“id”即为项目ID。 { "projects":
返回结果 状态码 请求发送以后,您会收到响应,其中包含状态码、响应消息头和消息体。 状态码是一组从1xx到5xx的数字代码,状态码表示了请求响应的状态,完整的状态码列表请参见状态码。 对于管理员创建IAM用户接口,如果调用后返回状态码为“201”,则表示请求成功。 响应消息头 对
华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另外,华为云还提供了以下销售许可证及软件著作权证书,供用户下载和参考。具体请查看合规资质证书。 图3 销售许可证&软件著作权证书 父主题: 安全
熔断器跟踪服务实例的访问状态,通过跟踪一段时间内服务实例的访问请求判定其健康状况,将不健康的实例从连接池中隔离,从而提高服务总体的访问成功率,适用于HTTP和TCP服务。 对于HTTP服务,连续返回5xx错误的实例认定为不健康。对于TCP服务,连接超时或者连接失败的实例认定为不健康。 父主题: 流量策略
葡萄牙 QA: 卡塔尔 RO: 罗马尼亚 RU: 俄罗斯 RW: 卢旺达 KN: 圣基茨和尼维斯 LC: 圣卢西亚 VC: 圣文森特和格林纳丁斯 WS: 萨摩亚 SM: 圣马力诺 ST: 圣多美和普林西比 SA: 沙特阿拉伯 SN: 塞内加尔 RS: 塞尔维亚 SC: 塞舌尔 SL:
服务路由协议 在HTTP、TLS和TCP这三个字段上分别定义了应用于HTTP、TLS和TCP三种协议的路由规则。 从规则构成上都是先定义一组匹配条件,然后对满足条件的流量执行对应的操作。 协议服务路由类型至少开启一种。同时开启的路由类型需添加一个无匹配条件的路由,作为默认路由,以免出现访问异常。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
