检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
以下请求示例将创建一个VPC网络模式的集群,并指定安装了CoreDNS域名解析和CCE容器存储(Everest)插件。 { "kind": "Cluster", "apiVersion": "v3", "metadata": { "name": "test", "annotations": {
默认数据盘空间分配说明 本章节将详细介绍节点数据盘空间分配的情况,以便您根据业务实际情况配置数据盘大小。 设置默认数据盘空间分配 v1.23.18-r0、v1.25.13-r0、v1.27.10-r0、v1.28.8-r0、v1.29.4-r0以下版本的集群中,节点会添加一块默认
使用Bound ServiceAccount Token访问集群 基于Secret的ServiceAccount Token由于token不支持设置过期时间、不支持自动刷新,并且由于存放在secret中,pod被删除后token仍然存在secret中,一旦泄露可能导致安全风险。1
Windows 使用PuTTY、Xshell等远程登录工具。 SSH密码方式鉴权:SSH密码方式登录 SSH密钥方式鉴权:SSH密钥方式登录 是 Linux 使用命令连接。 SSH密码方式鉴权:SSH密码方式登录 SSH密钥方式鉴权:SSH密钥方式登录 是/否 Windows或者Linux 使
如果是在集群内节点上执行kubectl,请检查节点的安全组,是否放通Node节点与Master节点TCP/UDP互访,安全组的详细说明请参见集群安全组规则配置 父主题: API&kubectl
- apiGroups: - proxy.exporter.k8s.io resources: - "*" verbs: ["get", "list", "watch"] 创建并编辑kube-apiserver.yaml文件。 vi kube-apiserver
容器组件 说明 资源类型 dashboard-api Dashboard的后端API,它提供了一个RESTful API,用于与Kubernetes API Server进行通信。API组件负责从Kubernetes API Server中获取集群信息,并将这些信息提供给Web组件。 Deployment
节点可创建的最大Pod数量说明 节点最大Pod数量计算方式 根据集群类型不同,节点可创建的最大Pod数量计算方式如下: 网络模型 节点可创建的最大Pod数量计算方式 建议 “容器隧道网络”集群 仅取决于节点最大实例数 - “VPC网络”集群 取决于节点最大实例数和节点可分配容器IP数中的最小值
使用RBAC鉴权。 ClusterRole:ClusterRole是一个集群级别的资源,可设置集群的访问权限。 Role:Role用于在某个命名空间内设置访问权限。当创建Role时,必须指定该Role所属的命名空间。 图2 自定义权限 单击“确定”。 父主题: API&kubectl
参见如下。 kubernetes.io/dockerconfigjson类型的密钥作为私有镜像获取的认证方式,以Pod为例,创建的myregistrykey作为镜像的认证方式。 apiVersion: v1 kind: Pod metadata: name: foo namespace:
就会从镜像仓库拉取。 容器镜像拉取策略还可以设置为Always,表示无论节点上是否有这个镜像,都会从镜像仓库拉取,并覆盖节点上的镜像。 apiVersion: v1 kind: Pod metadata: name: nginx spec: containers:
beta1 API。如果使用旧版本API管理Ingress,会影响应用对外暴露服务,请尽快使用networking.k8s.io/v1替代。 CustomResourceDefinition资源不再支持apiextensions.k8s.io/v1beta1 API。如果使用旧版
delete(删除)等操作词。 详细的类型和操作请参见使用 RBAC 鉴权。 有了Role之后,就可以将Role与具体的用户绑定起来,实现这个的就是RoleBinding了。如下所示。 kind: RoleBinding apiVersion: rbac.authorization.k8s
beta1 API。如果使用旧版本API管理Ingress,会影响应用对外暴露服务,请尽快使用networking.k8s.io/v1替代。 CustomResourceDefinition资源不再支持apiextensions.k8s.io/v1beta1 API。如果使用旧版
式。 在弹出的窗口中可以下载kubectl配置文件kubeconfig.json。 图1 下载kubeconfig.json 父主题: API&kubectl
crt # TOKEN=$(cat /var/run/secrets/kubernetes.io/serviceaccount/token) # curl -H "Authorization: Bearer $TOKEN" https://kubernetes/api/v1/na
命名空间权限(Kubernetes RBAC授权) 示例:某部门权限设计及配置 CCE控制台的权限依赖 ServiceAccount Token安全性提升说明 系统委托说明
权限 通过配置kubeconfig文件实现集群权限精细化管理 集群命名空间RBAC授权
disable: false 表4 CronHPA关键字段说明 字段 说明 apiVersion API版本,固定值“autoscaling.cce.io/v2alpha1”。 kind API类型,固定值“CronHorizontalPodAutoscaler”。 metadata
BoundServiceAccountTokenVolume特性进入Beta,该特性能够提升服务账号(ServiceAccount)Token的安全性,改变了Pod挂载Token的方式,Kubernetes 1.21及以上版本的集群中会默认开启。 社区1.20 ReleaseNotes API优先级和公平
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
