检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
e投射卷。 基于运行时类的镜像拉取(Alpha) 在Kubernetes1.29版本中,基于运行时类的镜像拉取以Alpha版本正式发布。该特性启用后, kubelet 会通过一个元组(镜像名称,运行时处理程序)而不仅仅是镜像名称或镜像摘要来引用容器镜像。 您的容器运行时可能会根据
配置建议: 根据节点配置变化 Pod中最大进程数 Pod中可创建最大进程数 参数名 取值范围 默认值 是否允许修改 作用范围 pod-max-pids 无 -1 允许 CCE Standard/CCE Turbo Pod 中可创建的最大进程数,默认值-1,pod 可创建进程数受限于节点pid容量
MongoDB和MySQL。这种类型应用可以先不做架构的拆分,将整体应用构建为一个镜像,将tomcat应用和mongoDB共同部署在一个镜像中。这样,当其他企业需要部署或升级应用时,可直接通过镜像来部署或升级。 对接mongoDB:用于用户文件存储。 对接MySQL:用于存储第三
CVE-2022-2639 高 2022-09-01 漏洞影响 1. 采用容器隧道网络的CCE集群,节点OS镜像使用了EulerOS 2.8(ARM场景)或EulerOS 2.9。 2. 节点OS镜像使用了Ubuntu。 EulerOS 2.5 和CentOS 7.6的集群节点不受该漏洞影响。
迁移 容器镜像迁移 将K8s集群迁移到CCE
参数 是否必选 参数类型 描述 cluster_version 否 String CCE集群版本 device_version 是 String 插件的版本 driver_version 是 String 插件安装驱动时,插件里负责安装驱动的Pod的镜像tag,一般与device_version相同
10版本的CCE集群和CCE Turbo集群 云容器引擎CCE支持创建Kubernetes 1.19.10版本的CCE集群和CCE Turbo集群,您可在创建集群时选用该版本。 商用 2 CCE Turbo集群支持自定义操作系统镜像 CCE Turbo集群支持自定义操作系统镜像。 商用
deploy”等获取其他资源的信息。 以YAML格式输出Pod的详细信息: kubectl get pod <podname> -o yaml 以JSON格式输出Pod的详细信息: kubectl get pod <podname> -o json kubectl get pod rc-nginx-2-btv4j
实例数量 1 工作负载中的Pod数量。 填写容器基本信息。 参数 示例 参数说明 镜像名称 使用mysql镜像,镜像版本为8.0 在基本信息中单击“选择镜像”,在弹出的窗口中选择“镜像中心”,并搜索“mysql”,选择mysql镜像,并设置镜像版本为“8.0”。 CPU配额 申请值为0
Admission进入稳定阶段,并移除PodSecurityPolicy PodSecurityPolicy被废弃,并提供Pod Security Admission取代,具体的迁移方法可参见从PodSecurityPolicy迁移到内置的PodSecurity准入控制器。 Ephemeral
选择操作系统类型,不同类型节点支持的操作系统有所不同。 公共镜像:请选择节点对应的操作系统。 私有镜像:支持使用私有镜像,私有镜像制作方法具体请参见制作CCE节点自定义镜像。 说明: 由于业务容器运行时共享节点的内核及底层调用,为保证兼容性,建议节点的操作系统选择与最终业务容器镜像相同或接近的Linux发行版本。
公共镜像:请选择节点对应的操作系统。 私有镜像:支持使用私有镜像,私有镜像制作方法具体请参见制作CCE节点自定义镜像。 说明: 由于业务容器运行时共享节点的内核及底层调用,为保证兼容性,建议节点的操作系统选择与最终业务容器镜像相同或接近的Linux发行版本。 安全加固 等保加固会对身份鉴别、访
请参见通过kubectl连接集群配置kubectl命令。 创建并编辑cce-configmap.yaml文件。 vi cce-configmap.yaml apiVersion: v1 kind: ConfigMap metadata: name: cce-configmap data: SPECIAL_LEVEL:
产品发布记录 集群版本发布记录 操作系统镜像发布记录 插件版本发布记录
Server不可用,影响业务应用的正常运行。 请确保您的账号已经对CCE服务授予cce_trust_kms委托权限,CCE集群将使用该委托进行密钥查询和加解密等操作,您可以在第一次使用Secret落盘加密特性时,在依赖检查中对CCE授权。 请勿删除该委托,如果删除会导致相关开启Secret落盘加密特性的集群不可用。
容器安全插件 CCE密钥管理(对接 DEW) 容器镜像签名验证 父主题: 插件
在构建作业中,配置编译器和构建参数,以便从Git仓库中获取源代码并进行编译。 在构建成功后,将编译生成的镜像推送到SWR镜像仓库中。 在测试环境中,使用Kubernetes集群来部署这个镜像。 测试通过并经过审批后,将此镜像部署到另一个Kubernetes集群的生产环境中。 图1 方案架构图 方案优势
Admission进入稳定阶段,并移除PodSecurityPolicy PodSecurityPolicy被废弃,并提供Pod Security Admission取代,具体的迁移方法可参见从PodSecurityPolicy迁移到内置的PodSecurity准入控制器。 Ephemeral
安全 安全配置概述 CCE集群安全配置建议 CCE节点安全配置建议 CCE容器运行时的安全配置建议 在CCE集群中使用容器的安全配置建议 在CCE集群中使用镜像服务的安全配置建议 在CCE集群中使用密钥Secret的安全配置建议 在CCE集群中使用工作负载Identity的安全配置建议
集群 CCE集群选型建议 通过CCE搭建IPv4/IPv6双栈集群 制作CCE节点自定义镜像 创建节点时执行安装前/后脚本 创建节点时使用OBS桶实现自定义脚本注入 通过kubectl对接多个集群 选择合适的节点数据盘大小 集群视角的成本可视化最佳实践 使用共享VPC创建CCE Turbo集群
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
