检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
中,最通用的内核参数修改方式是通过sysctl接口进行配置。在Kubernetes中,也是通过Pod的sysctl安全上下文(Security Context)对内核参数进行配置,如果您对sysctl概念不够熟悉,可阅读在 Kubernetes 集群中使用 sysctl。安全上下文(Security
Storage Service,OBS)提供海量、安全、高可靠、低成本的数据存储能力,可供用户存储任意类型和大小的数据。适合企业备份/归档、视频点播、视频监控等多种数据存储场景。 标准接口:具备标准Http Restful API接口,用户必须通过编程或第三方工具访问对象存储。 数
为了保障您的服务权益,请您务必在维护周期结束之前升级您的Kubernetes集群,主动升级集群有以下好处: 降低安全和稳定性风险:Kubernetes版本迭代过程中,会不断修复发现的安全及稳定性漏洞,长久使用EOS版本集群会给业务带来安全和稳定性风险。 支持新功能和新操作系统:Kubernetes版本的迭代过程中,会不断带来新的功能、优化。
减少不必要的成本支出。 安全隔离与自动预警 CCE Autopilot集群基于QingTian架构,实现虚拟机级别的安全隔离能力,并通过专属的container OS提供精简且安全的运行环境。其底层统一资源池设计支持快速故障隔离和修复,确保应用的持续安全稳定运行。系统内置的自动预
特性更新 优化增强 安全漏洞修复 v1.28.6-r0 v1.28.3 支持工作负载实例挂载EVS存储。 支持命名空间/工作负载绑定子网及安全组。 支持自定义磁盘空间。 增强集群运维监控能力。 持续优化Pod启动时间。 优化autopilot大规模集群性能。 修复部分安全问题。 v1.28
于CCE提供的高可用存储卷,将存储卷挂载在容器上,从而实现有状态工作负载的数据持久化。 约束与限制 当您删除或扩缩有状态负载时,为保证数据安全,系统并不会删除它所关联的存储卷。 当您删除一个有状态负载时,为实现有状态负载中的Pod可以有序停止,请在删除之前将副本数缩容到0。 您需
27:介绍用于磁盘卷组快照的新API。 kubectl apply裁剪更安全、更高效 在Kubernetes 1.5版本中,kubectl apply引入了--prune标志来删除不再需要的资源,允许kubectl apply自动清理从当前配置中删除的资源。然而,现有的--prune实现存在设计缺陷,会
网络管理 如何正确配置集群安全组规则?
负载均衡(LoadBalancer) 创建负载均衡类型的服务 健康检查使用UDP协议的安全组规则说明 父主题: 服务(Service)
容器网络 使用容器网络配置为命名空间/工作负载绑定子网及安全组 父主题: 网络
网络隔离 Pod可直接关联安全组,基于安全组的隔离策略,支持集群内外部统一的安全隔离。 容器隧道网络模式:集群内部网络隔离策略,支持NetworkPolicy。 VPC网络模式:不支持 Pod可直接关联安全组,基于安全组的隔离策略,支持集群内外部统一的安全隔离。
自动升级 CCE Autopilot集群支持自动升级,以确保集群的稳定性和安全性。集群自动升级功能可以通过配置集群维护窗口开启,系统会根据您设定的集群维护窗口以及集群版本发布情况,周期性地将集群自动升级到较新的补丁版本(例如v1.27.2-r0到v1.27.3-r0)。 开启集群
Autopilot集群的自动化运维减少了对人力资源的依赖,显著降低了运维成本。且对互联网金融等对安全合规性有严格要求的行业,传统驾驶模式客户自运维,OS等保能力建设困难,CCE Autopilot集群的托管服务不仅简化了节点管理,还提升了系统的安全性和合规性,使企业能够更专注于核心业务的创新与发展。 图1 传统模式和自动驾驶的资源管理对比
在Kubernetes 1.28版本,发布了用于改进集群安全升级的新机制(混合版本代理)。该特性为Alpha特性。当集群进行升级时,集群中不同版本的kube-apiserver为不同的内置资源集(组、版本、资源)提供服务。在这种情况下资源请求如果由任一可用的apiserver提供服务,请求可能会到达
检查当前HelmRelease记录中是否含有目标集群版本不支持的K8s废弃API,可能导致升级后helm模板不可用。 解决方案 将HelmRelease记录中K8s废弃API转换为源版本和目标版本均兼容的API。 该检查项解决方案已在升级流程中自动兼容处理,此检查不再限制。您无需关注并处理。
能够控制用户仅能对某一类集群和节点资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分,CCE支持的API授权项请参见权限策略和授权项。 如表1所示,包括了CCE的所有系统权限。 表1 CCE系统权限 系统角色/策略名称 描述 类别 依赖关系 CCE Administrator
集群中每个工作负载最多挂载10个云硬盘存储,若挂载数量超过10,可能导致负载运行异常。 对象存储服务 OBS 对象存储服务是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力,包括:创建、修改、删除桶,上传、下载、删除对象等。 CCE Autopilot集群支持创建OBS对象存储卷并挂载到容器的某一路径下。
要添加放通相应请求流量的安全组规则。 单个Pod只能绑定单个EIP。 创建Pod时,可指定相关的annotation配置EIP的属性,创建完成后,更新EIP相关的annotation均无效。 与Pod关联的EIP不要通过弹性公网IP的console或API直接操作(修改名称/删除
通过备份数据回滚。 废弃API说明 随着Kubernetes API的演化,API会周期性地被重组或升级,老的API会被弃用并被最终删除。以下为各Kubernetes社区版本中被废弃的API,更多已废弃的API说明请参见已弃用API的迁移指南。 当某API被废弃时,已经创建的资源
deployment字段详解 字段名称 字段说明 必选/可选 apiVersion 表示API的版本号。 说明: 请根据集群版本输入: 1.17及以上版本的集群中无状态应用apiVersion格式为apps/v1 1.15及以下版本的集群中无状态应用apiVersion格式为extensions/v1beta1
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
