检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务名称:服务名称即Service的名称,Service是用于管理Pod访问的对象。 命名空间:工作负载所在命名空间。 关联工作负载:要添加Service的工作负载。 负载端口配置 协议:访问负载的通信协议,可选择TCP或UDP。 访问端口:负载提供的访问端口。 容器端口:容器监听的端口,负载访问端口映射到容器端口。
什么是服务? 服务定义了实例及访问实例的途径,如单个稳定的IP地址和相应的DNS名称。 为了解决组件间的通信问题,CCI使用服务名称代替IP地址,从而实现组件间的相互访问。在创建工作负载时会指定服务名称。 父主题: 基本概念类
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/CR:H/IR:H/AR:M。 漏洞源于kubelet的驱逐管理器(eviction manager)中没有包含对Pod中挂载的/etc/hosts文件的临时存储占用量管理,因此在特定的攻击场景下,一个
应用往往都是由多个运行相同镜像的一组Pod组成,一个个Pod的访问也变得不现实。 举个例子,假设有这样一个应用程序,使用Deployment创建了前台和后台,前台会调用后台做一些计算处理,如图1所示。后台运行了3个Pod,这些Pod是相互独立且可被替换的,当Pod出现状况被重建时,新建的Pod的IP地址是新IP,前台的Pod无法直接感知。
您不需要购买和管理ECS,可以直接在华为云上运行容器和Pod,为您省去底层ECS的运维和管理工作。 使用CCI,您无需创建集群,无需创建和管理Master节点及Work节点,可直接启动应用程序。 收费方式 图1 CCE和CCI收费方式区别 应用场景 图2 CCE和CCI应用场景区别
恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录,实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知,但是如果DNS返回了A(IPv4)和AAAA(IPv6)记录,许多HTTP库都会尝试IPv6进行连接,如果再回退到IPv4,这为攻击者提供了响应的机会。 参考链接:https://github
行自定义监控和基础指标监控。 自定义监控:对接开源Prometheus监控指标,为pod中的应用提供prometheus的监控功能,利用Pod服务自动发现机制,在Prometheus主配置文件(prometheus.yml)中,配置port和path指定要采集的端口和路径。 prometheus
公网ip):elb端口/映射路径”访问负载。 Service是基于四层TCP和UDP协议转发的,Ingress可以基于七层的HTTP和HTTPS协议转发,可以通过域名和路径做到更细粒度的划分,如下图所示。 图1 Ingress-Service 下图是一个通过HTTP协议访问负载的示例。 图2 公网访问 约束与限制 使用弹性公网IP(Elastic
通常情况下,如果您在同一个VPC下还会使用其他服务的资源,您需要考虑您的网络规划,如子网网段划分、IP数量规划等,确保有可用的网络资源。 图1 命名空间与VPC子网的关系 哪些情况下适合使用多个命名空间 因为Namespace可以实现部分的环境隔离,当您的项目和人员众多的时候可以考虑根据项目属性,例如
在客户端和服务器之间的加密传输,可以防止数据信息的泄露,保证了双方传递信息的安全性,而且可以通过服务器证书验证他所访问的网站是否是真实可靠。 SSL证书分为权威证书和自签名证书。权威证书由权威的数字证书认证机构签发,您可向第三方证书代理商购买,使用权威证书的Web网站,默认客户端
安全容器这个概念主要与普通容器进行比较的。 和普通容器相比,它最主要的区别是每个容器(准确地说是pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。因为云容器实例采用的是共享多租集群,因此容器的安全隔离比用户独立拥有私有Kubernetes集群有更严格的要求。通过安全
erver组件的安全漏洞CVE-2020-8559,CVSS Rating: Medium (6.4) CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H。攻击者可以通过截取某些发送至节点kubelet的升级请求,通过请求中原有的访问凭据转发
上一节中讲了创建LoadBalancer类型的Service,使用ELB实例从外部访问Pod。 但是Service是基于四层TCP和UDP协议转发的,Ingress可以基于七层的HTTP和HTTPS协议转发,可以通过域名和路径做到更细粒度的划分,如下图所示。 图1 Ingress-Service
数据保护技术 云容器实例同时具备容器级别的启动速度和虚拟机级别的安全隔离能力,提供更好的容器体验。 原生支持Kata Container 基于Kata的内核虚拟化技术,为您提供全面的安全隔离与防护 自有硬件虚拟化加速技术,让您获得更高性能的安全容器 图1 通过Kata容器实现多租户容器强隔离
String 用户Token。 通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 Content-Type 是 String 消息体的类型(格式),默认取值为“application/json” 缺省值:application/json 表4 请求Body参数
application/merge-patch+json 在RFC7386协议的定义中,Merge Patch必须包含对一个资源对象的部分描述,即为JSON对象。该JSON对象被提交到服务端后与服务端的当前对象合并,即替换当前资源对象中的列表域,从而创建一个新的对象。 Strategic Merge Patch
云容器实例提供无服务器容器引擎,让您不需要管理集群和服务器,只需要三步简单配置,即可畅享容器的敏捷和高性能。云容器实例支持创建无状态负载(Deployment)和有状态负载(StatefulSet),并基于Kubernetes的负载模型增强了容器安全隔离、负载快速部署、弹性负载均衡、弹性扩缩容、蓝绿发布等重要能力。
云容器实例中使用镜像创建负载。OBS的SDK的下载及使用方法请参见https://sdkcenter.developer.huaweicloud.com/?product=OBS。 EVS和SFS的使用有个挂载的过程,下面将介绍如何使用EVS和SFS。 PersistentVolumeClaim(PVC)
3.0)挂载到容器中,当前仅支持NFS协议类型的文件系统。SFS 3.0存储卷适用于多种工作负载场景,包括媒体处理、内容管理、大数据分析和分析工作负载程序等场景。 支持的区域 各区域支持的文件存储卷类型,如下表所示: 表1 各区域支持的存储类型 文件存储卷类型 华北-北京四 华东-上海二
对于SFS多读场景,数据存在缓存的情况,会导致原数据读取延迟。如果需要实时读取数据,可为已创建的文件系统指定挂载参数。 挂载参数可设置mount命令指定文件系统挂载的选项,当前仅支持noac,即用于禁止本地的文件和目录缓存,支持客户端实时从远端SFS读取数据。 此处设置的挂载参数仅对当前命名空间下创建的文件存储卷有效。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
