检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
每天:在每天具体的某一个时间执行一次,可具体到分钟。设置完成后,策略将会在每天的该时点执行。 每周:在每周具体的某一天内的某一时间执行一次,可具体到分钟。设置完成后,策略将会在每周的该天该时点执行。 每月:在每月具体的某一天内的某一时间执行一次,可具体到分钟。设置完成后,策略将会在每月的该天该时点执行。
在左侧导航栏,单击“服务网关 > 网关路由”,进入网关路由列表页面。 单击右上角“YAML创建”,创建TCP路由。 设置YAML参数值,单击右下角“确定”按钮,完成路由创建。 YAML设置参考如下(根据实际需求调整配置参数): apiVersion: gateway.networking.k8s
UH(NoHealthyUpstream)表示上游服务没有健康的后端实例。 典型现象 目标服务的后端实例都不可用,如构造将目标服务的实例数设置为0。 典型日志 客户端日志。 应对建议 检查目标服务的负载配置,确认服务的实例均正常运行。 DC(下游连接终止) 含义 DC(Downs
工作负载 无状态负载 有状态负载 守护进程集 任务和定时任务 容器组 设置容器规格 设置容器生命周期 设置容器健康检查 设置环境变量 工作负载升级配置 调度策略(亲和与反亲和) 容忍策略 父主题: 单集群管理
添加污点容忍策略。 参数名 参数描述 污点键 节点的污点键。 操作符 Equal:设置此操作符表示准确匹配指定污点键(必填)和污点值的节点。如果不填写污点值,则表示可以与所有污点键相同的污点匹配。 Exists:设置此操作符表示匹配存在指定污点键的节点,此时容忍度不能指定污点值。若不填写污点键则可以容忍全部污点。
在左侧导航栏,单击“服务网关 > 网关路由”,进入网关路由列表页面。 单击右上角“YAML创建”,创建TLS路由。 设置YAML参数值,单击右下角“确定”按钮,完成路由创建。 YAML设置参考如下(根据实际需求调整配置参数): apiVersion: gateway.networking.k8s
集群的命名空间上。 本章节以“只读权限”为例,介绍为用户授予Kubernetes资源权限的方法,操作流程如图1所示。 UCS的集群操作权限设置仅对非华为云集群生效。对于华为云集群(CCE集群、CCE Turbo集群)的操作权限以IAM权限或者CCE RBAC权限为准。 授权流程 图1
此漏洞允许恶意攻击者发起针对HTTP/2 服务器的DDoS攻击,使用 HEADERS 和 RST_STREAM发送一组HTTP请求,并重复此模式以在目标 HTTP/2 服务器上生成大量流量。通过在单个连接中打包多个HEADERS和RST_STREAM帧,显著提升每秒请求量,提升服务器上的CPU利用率,从
在“可安装插件”中找到gpu-device-plugin,单击“安装”。 在安装插件页面,填写插件配置。 插件规格:可配置“默认”或“自定义”规格,请根据实际情况选择。 容器:选择“自定义”规格时支持设置。 Nvidia驱动:您可使用CCE提供的驱动地址或手动填写自定义Nvidia驱动的地址,集群下全部GPU节点将使用相同的驱动。
在左侧导航栏,单击“服务网关 > 网关路由”,进入服务网关列表页面。 单击右上角“YAML创建”,创建HTTP路由。 设置YAML参数值,单击右下角“确定”按钮,完成路由创建。 YAML设置参考如下(根据实际需求调整配置参数): apiVersion: gateway.networking.k8s
立的网络命名空间设置iptables规则,将应用服务的出入流量重定向到Sidecar的Envoy进程上,由Envoy进行流量路由。 图1 sidecar-proxy node-proxy 网格代理将会被安装在添加到该网格的每个集群的每个节点上,通过在每个节点上设置iptables
权限管理 如果您需要对购买的UCS资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制资源的访问。
由于企业应用流量的不断变化,容器工作负载的资源需求也在不断变化。在部署、管理容器工作负载时,若时刻保持业务高峰期的资源数量,会造成大量的资源浪费;若为工作负载设置资源限制,则达到资源使用上限后可能会造成应用异常。Kubernetes中的HPA(Horizontal Pod Autoscaler)策略
攻击者具有集群工作负载的创建或更新权限,创建工作负载时设置容器进程的WORKDIR为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。 工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限,将镜像中WORKDIR设置为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。
UCS权限概述 UCS在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对租户下的IAM用户设置不同的UCS资源权限,结合权限策略和舰队设计,可实现企业不同部门或项目之间的权限隔离。 图1 权限设计 UCS权限类型 UCS权限管理是在IAM
在更新流量策略内容时,可选择是否开启。 目的是断开超过阈值的连接和请求,保护目标服务。 通过连接池管理可以配置阈值来防止一个服务的失败级联影响到整个应用。连接池设置应用于上游服务的每个实例,可以应用在TCP级别和HTTP级别。 通过连接池管理可以控制service1服务对目标服务service2的请求:
在左侧导航栏,单击“流量治理”下的“流量策略”,进入流量策略列表。 选择想要更新的流量策略,单击右侧操作列下的“编辑YAML”,进入“更新流量策略”页面。 YAML设置如下(根据实际需求调整配置参数): apiVersion: networking.istio.io/v1beta1 kind: DestinationRule
容器组”,单击“YAML创建”。 在弹出的“YAML创建容器组”窗中对YAML文件进行编辑。 单击“确定”,完成YAML创建。 相关操作 事件:可以设置查询条件,比如设置事件产生的时间段或搜索事件名称,查看相关事件。 容器列表:可以查看相应实例的容器名称、状态、镜像以及启停次数等。 查看YAML:可以查看相应实例的YAML文件。
集群联邦升级前检查不通过怎么办? 问题背景 升级集群联邦前,UCS会对联邦运行状态、集群运行状态、集群接入状态三方面进行检查,尽可能避免升级失败。如有检查异常项,请先参考本章节内容排查与修复问题。问题修复后,可以尝试再次升级集群联邦。 升级联邦前,请您对联邦运行状态、集群运行状态
码。 当密钥为dockerconfigjson类型时:输入私有镜像仓库的用户名和密码。 说明: 密钥可用于创建工作负载存储卷和设置工作负载环境变量,设置工作负载环境变量时,该密钥数据不可为空。 密钥标签 标签以Key/value键值对的形式附加到各种对象上(如工作负载、节点、服务等)。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
