检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
"magento_image" : "example.com/demo/magento:latest", "mysql_image" : "example.com/demo/mysql:5.7.14" } } } SDK代码示例 SDK代码示例如下。 Java Python
initialize process thread 重要 检查集群初始化执行线程是否成功。 更新数据库失败 Failed to update database 重要 检查集群更新数据库是否成功。 节点池触发创建节点失败 Failed to create node by nodepool
程序需要以文件形式注入的只读数据,比如配置数据或密钥。 Kubernetes中的临时卷(Ephemeral Volume),就是为此类场景设计的。临时卷会遵从Pod的生命周期,与 Pod一起创建和删除。 Kubernetes中常用的临时卷: EmptyDir:Pod启动时为空,存
造的细粒度权限管理功能,支持基于IAM的细粒度权限控制和IAM Token认证,支持集群级别、命名空间级别的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 CCE的权限管理包括“集群权限”和“命名空间权限”两种能力,能够从集群和命名空间层面对用户组或用户进行细粒度授权,具体解释如下:
P、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 可用区(AZ,Availability Zone):一个AZ是一
解决方法请参考无法备份HostPath类型存储卷。 集群外资源 自建镜像仓库。 可迁移至容器镜像服务SWR。 非容器化的数据库。 可迁移至云数据库服务RDS。 对象存储等非本地存储。 可迁移至对象存储服务OBS等云存储服务。 迁移流程如图1所示,对于集群外资源您可根据实际需求进行选择性迁移。
v1.17.9 kube-apiserver v1.16.13 下列应用场景在此次漏洞的影响范围内: 如果集群运行业务中存在多租户场景,且以节点作为不同租户间隔离的安全边界。 不同集群间共享使用了相同的集群CA和认证凭据。 漏洞修复方案 对于集群内跨节点的攻击,建议您采取以下安全防范措施:
的兼容性、稳定性和安全性。 如果您有特殊场景需要使用自定义镜像功能,请使用CCE提供的基础镜像来制作自定义镜像。暂不支持Huawei Cloud EulerOS 2.0与Ubuntu 22.04操作系统自定义镜像。 基础镜像中预置了节点运行依赖的组件包,该包的版本会跟着集群版本变
)。镜像不包含任何动态数据,其内容在构建之后也不会被改变。 容器:镜像(Image)和容器(Container)的关系,就像是面向对象程序设计中的类和实例一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。 操作步骤 以root用户登录到安装有Docker的服务器上。
管理命名空间 使用命名空间 创建工作负载时,您可以选择对应的命名空间,实现资源或租户的隔离。 查询工作负载时,选择对应的命名空间,查看对应命名空间下的所有工作负载。 命名空间使用实践 按照不同环境划分命名空间 一般情况下,工作负载发布会经历开发环境、联调环境、测试环境,最后到生产
易成为攻击者的突破口,导致容器逃逸到宿主机。一旦容器逃逸发生,攻击者便能访问宿主机的敏感数据,甚至利用宿主机作为跳板,进一步控制整个集群或租户账户。以下是一些建议,以降低这种风险。 容器镜像最小化 为了加强容器镜像的安全性,首先应从镜像中移除所有不必要的二进制文件。如果使用的是Docker
Service直接访问Pod的真实IP地址,实现Pod间互相访问。 Headless Service一般结合StatefulSet来部署有状态的应用,比如Redis集群、MySQL集群等。 父主题: 其他
能会出现上述问题。 以上逻辑通过Kubernetes源码中的EventCorrelate方法实现,您可以查看社区的设计方案了解详情。 该问题为Kubernetes设计机制导致,因此您可以无需关注。 父主题: 节点池
署。 优势 高效流程管理 更优的流程交互设计,脚本编写量较传统CI/CD流水线减少80%以上,让CI/CD管理更高效。 灵活的集成方式 提供丰富的接口便于与企业已有CI/CD系统进行集成,灵活适配企业的个性化诉求。 高性能 全容器化架构设计,任务调度更灵活,执行效率更高。 建议搭配使用
实际写入数据时会将连续数据分成大小相同的块,然后依次存储在多个物理卷上,实现数据的并发读写从而提高读写性能。条带化模式的存储池不支持扩容。多块存储卷才能选择条带化。 说明: 本地持久卷仅在集群版本 >= v1.21.2-r0 时支持,且需要everest插件版本>=2.1.23,推荐使用>=2
权限 CCE权限概述 集群权限(IAM授权) 命名空间权限(Kubernetes RBAC授权) 示例:某部门权限设计及配置 CCE控制台的权限依赖 ServiceAccount Token安全性提升说明 系统委托说明
不同的业务部署在同一个集群中那么简单,而需要确保用户的应用能够部署到合适的位置,并能保障其需要的资源。这也是云原生混部解决方案中的两个核心设计:全域统一调度和资源分级管控。 全域统一调度和资源分级管控 全域统一调度 应用的全域统一调度的核心是全域和统一,比如:分布式云场景中跨云、
ms ~ 3 ms 1 ms 典型应用场景 普通开发测试 转码类业务。 I/O密集型场景,例如: NoSQL SQL Server PostgreSQL 时延敏感型场景,例如: Redis Memcache 关于专属存储性能的详细介绍,请以存储池类型及性能介绍为准。 使用场景 根据
P、镜像等公共服务。Region分为通用Region和专属Region,通用Region指面向公共租户提供通用云服务的Region;专属Region指只承载同一类业务或只面向特定租户提供业务服务的专用Region。 详情请参见区域和可用区。 可用区(AZ,Availability
服务网段:由于服务网段只能在集群中使用,因此集群之间服务网段可以重叠,但是不能和所属集群的子网网段和容器子网网段重叠。 图6 云原生网络2.0-多集群场景示例 多网络模式集群并存场景 同一VPC中包含多个网络模式的集群时,应在创建新集群时遵循以下规律: VPC网段:该场景下各个集群所在的VPC
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
