检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
注册集群 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 单击本地集群选项卡中的“注册集群”按钮。 参考表1填写待添加集群的基础信息,其中带“*”的参数为必填参数。 表1 注册集群基础信息配置 参数 参数说明 集群名称* 输入集群的自定义名称,需以小写字母开头,由小写字母、数
满足您在合规性和安全性方面的需求。策略定义的详细介绍请参阅策略定义库概述。 策略执行方式:包括拦截和告警两种方式。拦截表示不符合策略要求的资源将无法创建,告警表示不符合策略要求的资源仅告警提醒,仍可以正常创建。 策略生效范围:选择生效的命名空间。 单击“创建”,创建完成后系统会自
、命名空间或其他特定条件,从而确保策略实例仅对满足这些条件的对象起作用。 表1为安全类策略定义,共16个,它们专注于确保集群和资源的安全性;表2为合规类策略定义,总共17个,它们针对不同方面的合规要求。 表1 安全类策略定义 策略定义名称 类型 推荐级别 生效对象 参数 k8spspvolumetypes
忍策略。 配置完成后,单击“创建工作负载”。返回守护进程集工作负载列表查看工作负载状态。 在工作负载列表中,待工作负载状态为“运行中”,工作负载创建成功。 相关操作 通过集群控制台,您还可以执行表3中的操作。 表3 相关操作 操作 说明 YAML创建 单击右上角“YAML创建”,可使用已有的YAML创建工作负载。
见容忍策略。 配置完成后,单击“创建工作负载”。返回有状态工作负载列表查看工作负载状态。 在工作负载列表中,待工作负载状态为“运行中”,工作负载创建成功。 相关操作 通过集群控制台,您还可以执行表3中的操作。 表3 相关操作 操作 说明 YAML创建 单击右上角“YAML创建”,可使用已有的YAML创建工作负载。
推荐级别:L1 生效资源类型:Service 参数: allowedIPs:字符串数组 作用 限制服务externalIP仅为允许的IP地址列表。 策略实例示例 服务的externalIP仅允许allowedIPs中定义的IP。 apiVersion: constraints.gatekeeper
创建MCS前,需要保证集群间的节点网络互通与容器网络互通。 请参考表1检查集群网络情况。若集群或容器间网络还未打通,请参考表中设置方法对集群网络进行配置。若按照方法进行设置后仍无法打通网络,请参考常见问题进行问题排查。 表1 打通集群间网络 集群间网络 检查方法 打通方法 节点网络互通
vCPU 该用户于2023/06/15 09:00:00注销所有集群 则在该时间段,用户产生的费用将以按需计费模式进行扣费,具体费用的计算方法如下表所示。 计费时间段 计费时长(小时) 计入按需计费的集群接入规格(vCPU) 规格单价(元/vCPU/小时) 费用(元) 2023/06/15
23:59:59到期 则在该时间段,用户产生的费用将以包年/包月模式进行预先扣费,且该预付费用不随注销集群等操作而变化。具体费用的计算方法如下表所示。 计费时间段 计费时长(月) 计入包月计费的集群接入规格(vCPU) 规格单价(元/10vCPU/月) 费用(元) 2023/07/16
仅支持所有集群为华为云CCE集群的容器舰队启用网格。 操作步骤 方法一:从服务网格入口创建 登录UCS控制台,单击左侧导航栏中的“服务网格”,如果当前已有网格,请在网格列表页面右上角单击“创建网格”。 设置网格配置参数。 绑定容器舰队 绑定已有容器舰队。如果您还没有可选的容器舰队,请参考容器舰队,创建新的舰队。
登录IAM控制台,查询本地集群所在项目的ID,创建身份供应商,协议选择OpenID Connect。指定插件需要配置指定的身份供应商名称,具体请参见表1。用户组的权限配置具体操作请参见用户组策略内容。 表1 log-agent身份供应商配置 插件名称 身份提供商名称 客户端 ID namespace ServiceAccountName
况,请参考按需计费③的计费统计方式。 若您仅需要了解在套餐包期内注销集群后的计费情况,请参考包月计费②的计费统计方式。 图2 计费构成轴 表1 包月计费统计 计费时间段 计费时长(月) 计入包月计费的集群接入规格(vCPU) 规格单价(元/10vCPU/月) 费用(元) 包月计费①
见容忍策略。 配置完成后,单击“创建工作负载”。返回无状态工作负载列表查看工作负载状态。 在工作负载列表中,待工作负载状态为“运行中”,工作负载创建成功。 相关操作 通过集群控制台,您还可以执行表4中的操作。 表4 相关操作 操作 说明 YAML创建 单击右上角“YAML创建”,可使用已有的YAML创建工作负载。
exemptImages:字符串数组 作用 约束Pod定义SELinux配置的允许列表。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中的allowedSELinuxOptions定义了参数的允许列表。 apiVersion: constraints.gatekeeper
k8sallowedrepos 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: repos:字符串数组 作用 容器镜像必须以指定字符串列表中的字符串开头。 策略实例示例 以下策略实例定义容器镜像必须以“openpolicyagent/”开头。 apiVersion: constraints
容器组)包含了一个应用程序容器(某些情况下是多个容器)、存储资源、一个唯一的网络IP地址、以及一些确定容器该如何运行的选项。Pod容器组代表了Kubernetes中一个独立的应用程序运行实例,该实例可能由单个容器或者几个紧耦合在一起的容器组成。 YAML创建 登录集群控制台,选择“工作负载
示例中的container.seccomp.security.alpha.kubernetes.io/nginx注解的value在设定的值列表中,符合策略定义。 apiVersion: v1 kind: Pod metadata: name: nginx-seccomp-allowed
Cilium概述 为什么需要Cilium Cilium是一种高性能、高可靠性的容器网络解决方案,它通过eBPF技术在Linux内核层面实现网络和安全通信。它支持多种传输层协议,例如TCP、UDP和HTTP,并提供了多种安全特性,例如应用层访问控制和服务网格支持。Cilium还支持
exemptImages:字符串数组 作用 约束容器镜像tag。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,pararmeters中表示不允许容器镜像tag为latest。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind:
FederatedHPA策略的最小Pod数:工作负载的Pod数下限。 图4与表1列出了在同时使用FederatedHPA策略与CronFederatedHPA策略的情况下可能出现的扩缩容场景。您可以通过表内的示例了解在现有Pod数、最大Pod 数、最小Pod数、目标Pod数的不同
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
