检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
IAM用户登录UCS无法获取集群或舰队怎么办? 问题描述 IAM用户登录UCS控制台,前往“容器舰队”页面后,无法获取已创建的舰队和已注册的集群(“容器舰队”和“未加入舰队的集群”页面均为空)。 解决方案 大多数IAM用户无法获取集群的问题,都和权限未设置或者设置不正确有关,IA
支持多种类型资源的部署,不同类型的资源支持的部署插件不同。 发布用户 可选择当前用户或其他用户,获取对应账号的舰队信息进行应用发布。 服务扩展点 配置授权扩展点以获取UCS资源权限。创建服务扩展点请参见获取访问密钥AK/SK。。 关联类型 选择关联的UCS资源粒度,当前支持容器舰队。 容器舰队 选择UCS中开启联邦功能的集群舰队。
前提条件 已在UCS控制台申请多云集群试用。 UCS集群配额充足,AWS资源配额充足。 已在AWS控制台创建访问密钥。具体操作请参见如何获取访问密钥AK/SK。 操作步骤 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 单击多云集群选项卡中的“注册集群”按钮。 参考下表填写待添加集群
扩展点连接名称。可自定义,本示例中为IAM01。 Access Key Id 访问密钥ID,获取方法请参见获取访问密钥AK/SK。 Secret Access Key 秘密访问密钥,获取方法请参见获取访问密钥AK/SK。 父主题: 流水线
监控风险安全 容器洞察提供基于Kubernetes原生类型的容器监控能力,全面监控集群的健康状态和负荷程度。 支持集群、节点、工作负载的资源全景。 支持节点的资源占用、工作负载的资源消耗。 展示近一小时的CPU/内存指标。 关于UCS监控风险安全的详细介绍,请参见容器洞察章节。 父主题:
BAC鉴权方式,通过创建RBAC资源,为子用户授予联邦访问权限。 使用拥有Tenant Administrator权限的用户,下载并配置好 KubeConfig 文件。详细请参见使用kubectl连接集群联邦。 将如下内容保存为list-deploy.yaml文件。 apiVersion:
deploy。 登录云容器引擎CCE界面,依次单击“集群名称-工作负载-无状态工作负载-YAML创建”,复制粘贴下面的内容到YAML创建输入框中。 apiVersion: apps/v1 kind: Deployment metadata: name: zipkin namespace:
k8spspallowedusers 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages: 字符串数组 runAsUser: rule: 字符串 ranges: - min: 整型 max: 整型 runAsGroup:
策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“readOnlyRootFilesystem”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion:
match: kinds: - apiGroups: [""] kinds: ["Pod"] 符合策略实例的资源定义 示例中allowPrivilegeEscalation的值为false,符合策略实例。 apiVersion: v1 kind: Pod
k8spspflexvolumes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedFlexVolumes:数组 作用 约束PodSecurityPolicy中的allowedFlexVolumes字段类型。 策略实例示例 以下策略实例展示了
服务网格 网格管理 服务管理 灰度发布 流量治理 服务安全 服务网关 监控中心
k8spspforbiddensysctls 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedSysctls:数组 forbiddenSysctls:数组 作用 约束PodSecurityPolicy中的“sysctls”字段不能使用的name。
解。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPSeccomp metadata: name: psp-seccomp spec: match: kinds: - apiGroups:
本地集群 创建终端节点以私网接入本地集群 使用工作负载Identity安全访问云服务
k8spspselinuxv2 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedSELinuxOptions:对象数组,包含level、role、type、user四个字符串对象 exemptImages:字符串数组 作用 约束Pod定义SELinux配置的允许列表。
k8spspprocmount 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 procMount:字符串 作用 约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例
登录一台linux系统的计算机,执行如下命令获取登录密钥,其中$AK和$SK为上一步获取的AK/SK。 printf "$AK" | openssl dgst -binary -sha256 -hmac "$SK" | od -An -vtx1 | sed 's/[ \n]//g'
k8spspcapabilities 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedCapabilities:数组 exemptImages:字符串数组 requiredDropCapabilities:数组 作用 限制PodSecurit
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
