检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
cci_admin_trust委托具有Tenant Administrator权限。Tenant Administrator拥有除IAM管理外的全部云服务管理员权限,用于对CCI所依赖的其他云服务资源进行调用,且该授权仅在当前区域生效。 由于CCI对其他云服务有许多依赖,如果没有Tenant
获取账号ID 在调用接口的时候,部分URL中需要填入账号ID(domain-id),所以需要先在管理控制台上获取到账号ID。账号ID获取步骤如下: 登录管理控制台。 单击用户名,在下拉列表中单击“我的凭证”。 在“API凭证”页面查看账号ID。 图1 获取账号ID 父主题: 附录
您需要确保账户有足够金额。 创建IAM用户 如果您需要多用户协同操作管理您账号下的资源,为了避免共享您的密码/访问密钥,您可以通过IAM创建用户,并授予用户对应权限。这些用户可以使用特别的登录链接和自己单独的用户账号访问华为云,帮助您高效的管理资源,您还可以设置账号安全策略确保这些
使用IAM用户“James”登录云容器实例控制台,验证授予的命名空间权限,验证步骤如下: 在“IAM用户登录”页面,输入账号名、用户名及用户密码,使用新创建的IAM用户登录。 账号名为该IAM用户所属云账号的名称。 用户名和密码为创建IAM用户James时输入的用户名和密码,首次登录时需要重置密码。
B两种方式。 公网访问:通过弹性负载均衡,从外部访问负载。 本例中,选择配置为“公网访问”,这样可以通过负载均衡的IP和端口访问2048负载。 配置服务名称为“deployment-2048”,选择ELB实例,如果没创建负载均衡,可以单击“创建共享型ELB实例”创建一个。 配置I
象层来管理Pod实例,例如Deployment和StatefulSet。另外在Kubernetes中使用Service定义一系列Pod以及访问这些Pod的策略的资源对象,使用Ingress管理外部访问的资源对象。 如果您对Kubernetes的资源不熟悉,请参见《云容器实例开发指南》了解各资源的关系。
源不足时)、随着集群的节点fail而消失。同时kubernetes提供了Controller(控制器)来管理Pod,Controller可以创建和管理多个Pod,提供副本管理、滚动升级和自愈能力,其中最为常用的就是Deployment。 一个Deployment可以包含一个或多个
漏洞源于kubelet的驱逐管理器(eviction manager)中没有包含对Pod中挂载的/etc/hosts文件的临时存储占用量管理,因此在特定的攻击场景下,一个挂载了/etc/hosts的Pod可以通过对该文件的大量数据写入占满节点的存储空间,从而造成节点的拒绝访问(Denial of
与其他服务的关系 云容器实例需要与其他云服务协同工作,云容器实例需要获取如下云服务资源的权限。 图1 云容器实例与其他服务的关系 容器镜像服务 容器镜像服务(Software Repository for Container,SWR)是一种支持容器镜像全生命周期管理的服务, 提供简单易
EIPPool概述 为方便用户在CCI内直接为Pod关联EIP,CCI新增了名为EIPPool的自定义资源对象,通过EIPPool资源对象,用户可以为Pod自动绑定EIP。EIPPool对象支持两种EIP资源管理方式:动态管理EIP资源(EIP资源由CCI自动创建)、静态管理EIP资源(EIP资源由用户提前创建)。
存储管理 通过创建子用户方式,缩小OBS场景下上传ak/sk的权限
负载管理 CCI应用进行优雅滚动升级 在容器中通过环境变量获取Pod基础信息 内核参数配置 修改/dev/shm容量大小 使用Prometheus监控CCI实例
安全 责任共担 身份认证与访问控制 数据保护技术 审计与日志 监控安全风险
单个镜像快照最多包含20个镜像。 支持私有镜像仓库,但需要提供私有镜像仓库的访问凭证,包括地址、用户名和密码。 如果镜像需要通过公网拉取,则需要事先配置NAT网关服务。 如果镜像快照中只有部分镜像与Pod中镜像相符,则不相符的镜像仍需通过下载拉取。 CCI实例运行中镜像信息发生变动,且新镜像与匹配的镜像快照
] } 示例2:拒绝用户删除命名空间 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予CCIFullAccess的系统策略,但不希望用户拥有CCIFullAcc
Payment Required 保留请求。 403 Forbidden 请求被拒绝访问。 返回该状态码,表明请求能够到达服务端,且服务端能够理解用户请求,但是拒绝做更多的事情,因为该请求被设置为拒绝访问,建议直接修改该请求,不要重试该请求。 404 NotFound 所请求的资源不存在。
16.0 漏洞分析结果 CCI服务不受本次漏洞影响,原因如下: CCI当前集群基于Kubernetes 1.15版本,容器网络基于用户VPC,任何用户无法访问节点,也无法拦截kubelet请求。因此节点没有被攻击的风险。 父主题: 漏洞修复公告
使用ConfigMap ConfigMap是一种用于存储应用所需配置信息的资源类型。资源创建完成后,可在容器应用中作为文件使用。 创建ConfigMap 登录云容器实例控制台,单击左侧导航栏的“配置中心 > 配置项(ConfigMap)”,在右侧页面中选择命名空间,单击“创建配置项”。 CCI控制台上
printed. 请求参数 表3 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 响应参数 状态码: 200 表4 响应Body参数
在Kubernetes的角色访问控制(RBAC)与统一身份认证服务(IAM)的能力基础上,提供的基于IAM的细粒度权限控制和IAM Token认证,同时支持命名空间级别及命名空间以下资源的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 商用 权限管理 CCI权限说明
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
