检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全 责任共担 身份认证与访问 审计与日志 监控风险安全 认证证书
服务安全 概述 对端认证 请求认证 服务授权 父主题: 服务网格
监控风险安全 容器洞察提供基于Kubernetes原生类型的容器监控能力,支持集群、节点、工作负载的资源全景,支持节点的资源占用、工作负载的资源消耗,以及近一小时的CPU/内存指标展示,全面监控集群的健康状态和负荷程度。 关于UCS监控风险安全的详细介绍,请参见容器洞察章节。 父主题:
jwksUri: https://cloudnative-istio.book/jwks-demo/jwks 更新请求认证 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“请求认证”,进入请求认证详情页。
和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
使用工作负载Identity安全访问云服务 应用场景 工作负载Identity允许集群中的工作负载模拟IAM用户来访问云服务,从而无需直接使用IAM账号的 AK/SK 等信息,降低安全风险。 本文档介绍如何在UCS中使用工作负载Identity。 方案流程 使用工作负载Identity的流程如图1
ASM服务提供了一个透明的分布式安全层,并提供了底层安全的通信通道,管理服务通信的认证、授权和加密,还提供了实例到实例、服务到服务的通信安全。 开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 安全功能主要分为对端认证、请求认证和服务授权,以确保服务间通信的可靠性。 父主题: 服务安全
bernetes资源对象的权限(如工作负载、任务、服务等Kubernetes原生资源)。 更多权限管理介绍,详见权限管理章节。 父主题: 安全
创建服务授权 支持YAML创建服务授权。 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“服务授权”,进入服务授权详情页。 单击右上角“YAML创建”,弹出服务授权YAML创建界面。 设置如下:满足特定条件的请求访问才会
可以控制对目标工作负载上双向认证的模式。 创建对端认证 支持YAML创建对端认证。 登录UCS控制台,进入网格。 在左侧导航栏,单击“服务安全”下的“对端认证”,进入对端认证详情页。 单击右上角“YAML创建”,弹出对端认证YAML创建界面。 为服务开启双向认证,该服务使用双向认
当一个资源向该资源所在服务器的不同的域发起请求时,就会产生一个跨域的HTTP请求。出于安全原因,浏览器会限制从脚本发起的跨域HTTP请求。通过跨域资源共享CORS机制可允许Web应用服务器进行跨域访问控制,使跨域数据传输安全进行。 YAML设置如下: apiVersion: networking
议。 具备网络安全检测能力:Cilium支持通过集成第三方的网络安全检测服务,如Snort等,来进行网络流量分析和检测。 自动进行容器安全策略管理:Cilium通过基于Kubernetes 的自定义资源定义(CRD)机制,为每个容器自动创建安全策略,保障容器的安全。 实现容器级别
调用说明 华为云UCS提供了REST(Representational State Transfer)风格API,支持您通过HTTPS请求调用,调用方法请参见如何调用API。 父主题: 使用前必读
、为帐号充值等。 注册华为云并实名认证 如果您已有一个华为云帐户,请跳到下一个任务。如果您还没有华为云帐户,请参考以下步骤创建。 打开https://www.huaweicloud.com/,单击“注册”。 根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?。
注册附着集群(私网接入) 位于本地数据中心和第三方云上的附着集群通过公网接入UCS存在一定的安全风险,用户需要稳定安全的集群接入方式,此时可以使用私网接入的方式将集群纳入UCS进行管理。 私网连接方式是通过云专线(DC)或虚拟专用网络(VPN)服务将云下网络与云上虚拟私有云(VP
AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 To
服务网格 网格管理 服务管理 灰度发布 流量治理 服务安全 服务网关 监控中心
状态码: 201 表6 响应Body参数 参数 参数类型 描述 uid String 集群ID 请求示例 注册华为云CCE集群 POST https://ucs.myhuaweicloud.com/v1/clusters { "metadata" : { "uid" :