检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CCI权限说明 CCI当前认证鉴权是在Kubernetes的角色访问控制(RBAC)与统一身份认证服务(IAM)的能力基础上,提供的基于IAM的细粒度权限控制和IAM Token认证,同时支持命名空间级别及命名空间以下资源的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。
HTTP请求方法(也称为操作或动词),它告诉服务您正在请求什么类型的操作。 表2 HTTP方法 方法 说明 GET 请求服务器返回指定资源。 PUT 请求服务器更新指定资源。 POST 请求服务器新增资源或执行特殊操作。 DELETE 请求服务器删除指定资源,如删除对象等。 HEAD 请求服务器资源头部。 PATCH
通过创建子用户方式,缩小OBS场景下上传ak/sk的权限 使用场景 CCI使用OBS时需要上传密钥,用户可通过创建子用户方式,将上传密钥替换为仅有OBS访问权限的子用户密钥。 操作步骤 进入云容器实例控制台,上传密钥并导入已有的对象存储卷。 登录云容器实例控制台,单击左侧导航栏的“存储管理 >
负载网络访问 网络访问概述 内网访问 公网访问 从容器访问公网
使用插件前需要用户在CCI界面对CCI服务进行授权。 安装bursting插件后会在CCI服务新建一个名为"cce-burst-"+集群ID的命名空间,该命名空间完全由bursting管理,不建议直接在CCI服务使用该命名空间,如需使用CCI服务,请另外新建命名空间。 安装插件 登录CCE控制台。
启动容器就是启动主进程,但有些时候,启动主进程前,需要一些准备工作。比如MySQL类的数据库,可能需要一些数据库配置、初始化的工作,这些工作要在最终的MySQL服务器运行之前解决。这些操作,可以在制作镜像时通过在Dockerfile文件中设置ENTRYPOINT或CMD来完成,如下所示的Dockerfile中设置了ENTRYPOINT
当前CCI服务开放的API对应的Kubernetes版本为1.19,根据Compatibility: client-go <-> Kubernetes clusters,推荐使用的SDK版本为k8s.io/client-go@kubernetes-1.19.0。 CCI服务是共享集
如何为弹性CCI的pod配置默认使用的指定dns服务器。 CCE集群pod与CCI集群中pod通过service互通的使用指导。 弹性CCI侧pod通过service发布。 约束与限制 使用共享VPC的CCE集群不支持开启“网络互通”功能。 使用CCE集群中的Bursting插件对接CCI 2.0服务,支持配置独享
常这种场景下是应用包含一个主容器和几个辅助容器(SideCar Container),如图1所示,例如主容器为一个web服务器,从一个固定目录下对外提供文件服务,而辅助的容器周期性的从外部下载文件存到这个固定目录下。 图1 Pod 实际使用中很少直接创建Pod,而是使用Kuber
RBAC能力的授权。通过权限设置可以让不同的委托账号拥有操作指定Namespace下Kubernetes资源的权限。 本章节通过简单的命名空间授权方法,将CCI服务的委托账号授予操作不同命名空间资源的权限,从而使委托账号拥有命名空间的操作权限。 操作步骤 登录云容器实例管理控制台,在左侧导航栏中选择“权限管理”,进入权限管理页面。
身份认证与访问控制 CCI当前认证鉴权是在Kubernetes的角色访问控制(RBAC)与统一身份认证服务(IAM)的能力基础上,提供的基于IAM的细粒度权限控制和IAM Token认证,同时支持命名空间级别及命名空间以下资源的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。
与其他服务的关系 云容器实例需要与其他云服务协同工作,云容器实例需要获取如下云服务资源的权限。 图1 云容器实例与其他服务的关系 容器镜像服务 容器镜像服务(Software Repository for Container,SWR)是一种支持容器镜像全生命周期管理的服务, 提供
什么是安全容器? 安全容器这个概念主要与普通容器进行比较的。 和普通容器相比,它最主要的区别是每个容器(准确地说是pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。因为云容器实例采用的是共享多租集群,因此容器的安全隔离比用户独立拥有私有Kuberne
Failed 未满足前提条件,服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大,服务器无法处理,因此拒绝请求。为防止客户端的连续请求,服务器可能会关闭连接。如果只是服务器暂时无法处理,则会包含一个Retry-After的响应信息。
CCI支持Pod资源基础监控能力,提供CPU、内存、磁盘、网络等多种监控指标,满足对Pod资源的基本监控需求。 Pod内置系统agent,默认会以http服务的形式提供Pod和容器的监控指标。 CCI支持的资源监控指标,请参见资源监控指标。 Pod资源基础监控能力,请参见Pod资源监控指标。 父主题:
之间的权限隔离。 将CCI资源委托给更专业、高效的其他云账号或者云服务,这些账号或者云服务可以根据权限进行代运维。 如果云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CCI服务的其它功能。 本章节为您介绍对用户授权的方法,操作流程如图1所示。
Container Instance,简称CCI)服务提供 Serverless Container(无服务器容器)引擎,让您无需创建和管理服务器集群即可直接运行容器。通过CCI您只需要管理运行在Kubernetes上的容器化业务,无需管理集群和服务器即可在CCI上快速创建和运行容器负载,使
高性能计算:提供高性能计算、网络和高I/O存储,满足密集计算的诉求 极速弹性:秒级资源准备与弹性,减少计算过程中的资源处理环节消耗 免运维:无需感知集群和服务器,大幅简化运维工作、降低运维成本 随启随用、按需付费:容器按需启动,按资源规格和使用时长付费 图2 科学计算 DevOps持续交付 软件开
修改容器配置。 单击“更换镜像”可以选择新的镜像,如下图所示。 图1 更换镜像 我的镜像:展示了您上传到容器镜像服务的镜像。 开源镜像中心:展示了镜像中心的公共镜像。 共享镜像:展示了容器镜像服务中他人共享的镜像。 镜像选择完成后,需要选择镜像的版本、设置容器名称、设置容器占用的CPU和内存规
过selector选择到标签“app:nginx”的Pod,目标Pod的端口为80,Service对外暴露的端口为8080。 访问服务只需要通过“服务名称:对外暴露的端口”接口,对应本例即“nginx:8080”。这样,在其他负载中,只需要通过“nginx:8080”就可以访问到“nginx”关联的Pod。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
