检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安装前检查 节点软件更新与升级要求 请关闭节点软件自动更新,请勿进行docker安装和containerd版本升级。禁用Ubuntu软件自动更新可参考Ubuntu Enable Automatic Updates Unattended Upgrades。
可通过以下命令查看容器镜像元数据: docker运行时执行:docker inspect <镜像ID> containerd运行时执行:crictl inspecti <镜像ID> 图2 有安全风险的工作负载配置示例 漏洞修复方案 规避措施 配置工作负载的WORKDIR为固定目录。
cluster's.
UCS的image-migrator是一个自动化镜像迁移工具,可以将基于Docker Registry v2搭建的Docker镜像仓库中的镜像迁移到SWR中;对于依赖服务的数据迁移,您可以使用华为云的其他云产品来配套实现。具体请参见镜像迁移和依赖服务迁移。
k8spspseccomp 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedLocalhostFiles:数组 allowedProfiles:数组 exemptImages:字符串数组 作用 约束PodSecurityPolicy上的“seccomp.security.alpha.kubernetes.io
image-migrator image-migrator是一个镜像迁移工具,能够自动将基于Docker Registry v2搭建的Docker镜像仓库或第三方云镜像仓库中的镜像迁移到SWR中。
cluster's.
权限说明 kube-prometheus-stack插件中的node-exporter组件会监控Docker的存储磁盘空间,需要读取宿主机的/var/run/dockersock的获取Docker的info的数据。
查看工作负载中的Pod的数量变动,观察所创建的负载伸缩策略效果。 图1 复杂场景下负载伸缩策略使用流程 准备工作 注册两个华为云集群cluster01和cluster02。若您还未注册华为云集群,请参考华为云集群进行注册。
Docker的镜像拥有存储镜像信息的相关元数据,如果不设置生命周期命令和参数,容器运行时将运行镜像制作时提供的默认的命令和参数,Docker将这两个字段定义为ENTRYPOINT和 CMD。
Docker的镜像拥有存储镜像信息的相关元数据,如果不设置生命周期命令和参数,容器运行时将运行镜像制作时提供的默认的命令和参数,Docker将这两个字段定义为ENTRYPOINT和 CMD。
图5 设置环境变量 示例yaml文件: kind: Deployment apiVersion: apps/v1 metadata: name: {{app_name}} namespace: {{namespace}} spec: replicas: 3 selector
如果您未创建日志组,CCE会提示您进行创建,默认名称为k8s-log-{集群ID},如 k8s-log-bb7eaa87-07dd-11ed-ab6c-0255ac1001b3。
通常用于:“容器应用程序生成的日志文件需要永久保存”或者“需要访问宿主机上Docker引擎内部数据结构的容器应用”。 参考创建无状态负载、创建有状态负载或创建守护进程集,在设置容器基本信息后,选择“数据存储”,在“本地存储”页签下单击添加。
说明:CCE中能够保证与ECS的ID一致 Workloads:工作负载 Deployment:工作负载类型,支持Deployment(无状态负载)、StatefulSet(有状态负载)、DaemonSet(守护进程集)、CronJob(定时任务)、Job(普通任务)、LonePod
说明:CCE中能够保证与ECS的ID一致 Workloads:工作负载 Deployment:工作负载类型,支持Deployment(无状态负载)、StatefulSet(有状态负载)、DaemonSet(守护进程集)、CronJob(定时任务)、Job(普通任务)、LonePod
说明:CCE中能够保证与ECS的ID一致 Workloads:工作负载 Deployment:工作负载类型,支持Deployment(无状态负载)、StatefulSet(有状态负载)、DaemonSet(守护进程集)、CronJob(定时任务)、Job(普通任务)、LonePod
说明:CCE中能够保证与ECS的ID一致 Workloads:工作负载 Deployment:工作负载类型,支持Deployment(无状态负载)、StatefulSet(有状态负载)、DaemonSet(守护进程集)、CronJob(定时任务)、Job(普通任务)、LonePod
k8spspautomountserviceaccounttokenpod 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数:无 作用 约束容器不能设置automountServiceAccountToken为true。
k8spsphostnamespace 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数:无 作用 限制PodSecurityPolicy中的“hostPID”和“hostIPC”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
