检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
match: kinds: - apiGroups: [""] kinds: ["Pod"] 符合策略实例的资源定义 示例中allowPrivilegeEscalation的值为false,符合策略实例。 apiVersion: v1 kind: Pod
配置FederatedHPA策略以控制扩缩速率 为什么需要控制扩缩速率 HPA controller默认的扩缩容总原则是:快速扩容,低速缩容。然而,若仅依靠配置稳定窗口时长,在窗口时长过后即失去了对扩缩容速率的控制能力,无法真正实现对扩缩容速率的准确控制。您可以通过配置负载伸缩策
k8spspselinuxv2 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedSELinuxOptions:对象数组,包含level、role、type、user四个字符串对象 exemptImages:字符串数组 作用 约束Pod定义SELinux配置的允许列表。
以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPFSGroup metadata: name: psp-fsgroup spec: match: kinds: - apiGroups:
基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 禁止PodSecurityPolicy中的“privileged”字段为true。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints
k8spspprocmount 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 procMount:字符串 作用 约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例
k8spspapparmor 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedProfiles:数组 exemptImages:字符串数组 作用 约束AppArmor字段列表。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,para
k8spsphostnamespace 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数:无 作用 限制PodSecurityPolicy中的“hostPID”和“hostIPC”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints
k8spspvolumetypes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: volumes:数组 作用 约束PodSecurityPolicy中的“volumes”字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,paramete
假设您是一家大型企业的平台工程师,负责整个基础设施环境的安全策略配置和管理,确保企业多个团队使用集群资源的合规性。利用UCS策略中心,您可以: 创建统一的策略实例:使用UCS策略中心创建一个统一的策略实例,包含所有团队需要遵循的安全和合规规定。这样一来,您可以确保所有团队在使用集群资源时遵循相同的标准。
提供细粒度的权限管理功能,帮助用户灵活便捷地对租户下的IAM用户设置不同的UCS资源权限,结合权限策略和舰队设计,可实现企业不同部门或项目之间的权限隔离。 图1 权限设计 UCS权限类型 UCS权限管理是在IAM与Kubernetes的角色访问控制(RBAC)的能力基础上,打造的
UCS深度整合了华为云容器镜像服务(SWR)能力,支持镜像全生命周期管理,为您提供简单易用、安全可靠的镜像管理功能,帮助您快速部署容器化服务。 通过使用容器镜像服务,您无需自建和维护镜像仓库,即可享有云上的镜像安全托管及高效分发服务,获得容器上云的顺畅体验。 产品功能 镜像全生命周期管理 容器
本地集群使用云专线/VPN上报日志 步骤一:云日志服务VPC终端节点授权 在导航栏单击“工单>新建工单”。 在“我遇到的问题所属产品/服务”的输入框中输入LTS,单击“搜索” 问题类型选择“其他问题”,新建工单。 输入问题描述,选择联系方式,并提交。 问题描述内容建议:云日志服务
户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对UCS服务,管理员能够控制IAM
UCS权限概述 UCS服务资源权限(IAM授权) 集群中Kubernetes资源权限(RBAC授权) Kubernetes资源对象 示例:某公司权限设计及配置
FederatedHPA的工作原理如图1,实现流程如下: HPA Controller通过API定期查询工作负载的指标数据。 karmada-apiserver收到查询请求,会路由到之前通过API服务注册的karmada-metrics-adapter。 karmada-metric
登录虚拟私有云控制台,单击“虚拟私有云>访问控制>安全组”,选择 {集群名}-cce-node-xxx 的安全组,单击安全组名称,查看安全组详情。 标准版cce集群需放通node安全组,turbo集群要放通node安全组和eni安全组。 单击“入方向规则”,单击“添加规则”,填写“
更新KubeConfig文件 本章节将指导您更新集群的KubeConfig文件,以便应对集群证书信息泄露或过期情况,或进行例行的安全维护。 更新KubeConfig文件的操作仅适用于附着集群与伙伴云集群。 前提条件 集群未加入任何舰队。 集群安装了anp-agent插件,以保证新
则可保留perl解释器,否则需要去除。 perl (/usr/bin/perl) 操作系统中不允许安装显示安全策略的工具 防止系统的安全信息泄露。依照业务需求,预安装的安全加固工具,限制其文件的所有者为root,并且仅root具有执行权限。 操作系统中不允许存在网络嗅探类的工具
本地集群 创建终端节点以私网接入本地集群 使用工作负载Identity安全访问云服务
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
