检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
VPC(虚拟私有云)服务的所有权限 elb:*:* ELB(弹性负载均衡)服务的所有权限 sfs:*:* SFS(弹性文件服务)服务的所有权限 obs:*:* OBS(对象存储服务)服务的所有权限 evs:*:* EVS(云硬盘)服务的所有权限 aom:*:* AOM(应用运维管理)服务的所有权限
策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。这是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进
安装cci-iam-authenticator 请参考使用kubectl,下载安装及设置cci-iam-authenticator。 安装kubernetes-client/java 详情请参考Installation 。 当前CCI服务开放的API对应的Kubernetes版本为1.19,根据Ver
什么是环境变量? 环境变量是指容器运行环境中设定的一个变量。环境变量可以在工作负载部署后修改,为工作负载提供了极大的灵活性。 在CCI中设置环境变量与Dockerfile中的“ENV”效果相同。 父主题: 基本概念类
s-client/python结合使用以调用API。 安装cci-iam-authenticator 请参考使用kubectl,下载安装及设置cci-iam-authenticator。 安装kubernetes-client/python 您可参考Installation,下载
约束与限制 单个镜像快照最多包含20个镜像。 支持私有镜像仓库,但需要提供私有镜像仓库的访问凭证,包括地址、用户名和密码。 如果镜像需要通过公网拉取,则需要事先配置NAT网关服务。 如果镜像快照中只有部分镜像与Pod中镜像相符,则不相符的镜像仍需通过下载拉取。 CCI实例运行中镜像信息发
常这种场景下是应用包含一个主容器和几个辅助容器(SideCar Container),如图1所示,例如主容器为一个web服务器,从一个固定目录下对外提供文件服务,而辅助的容器周期性的从外部下载文件存到这个固定目录下。 图1 Pod 实际使用中很少直接创建Pod,而是使用Kuber
Kubernetes集群节点上如果有绑定在127.0.0.1上的服务,则该服务可以被同一个LAN或二层网络上的主机访问,从而获取接口信息。如果绑定在端口上的服务没有设置身份验证,则会导致该服务容易受到攻击。 参考链接: https://github.com/kubernetes/kubernetes/issues/92315
命名空间下资源权限的授权,是基于Kubernetes RBAC能力的授权。通过权限设置可以让不同的委托账号拥有操作指定Namespace下Kubernetes资源的权限。 本章节通过简单的命名空间授权方法,将CCI服务的委托账号授予操作不同命名空间资源的权限,从而使委托账号拥有命名空间的操作权限。
和管理服务器、不用担心服务器的运行状态(服务器是否在工作等),只需动态申请应用需要的资源,把服务器留给专门的维护人员管理和维护,进而专注于应用开发,提升应用开发效率、节约企业IT成本。传统上使用Kubernetes运行容器,首先需要创建运行容器的Kubernetes服务器集群,然后再创建容器负载。
之间的权限隔离。 将CCI资源委托给更专业、高效的其他云账号或者云服务,这些账号或者云服务可以根据权限进行代运维。 如果云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CCI服务的其它功能。 本章节为您介绍对用户授权的方法,操作流程如图1所示。
nx镜像容器,启动了80端口,如果该Pod中另一个http服务的镜像也启动80端口,那么这个Pod就会出现端口冲突。 我的镜像:展示了您上传到容器镜像服务的镜像。 如您是IAM用户,您需要参考(可选)上传镜像进账号限设置后才可使用账号的私有镜像。 CCI当前暂不支持对接第三方镜像仓库。
YAML定义可以参考yaml格式。 云容器实例支持“手工输入”和“文件上传”两种方式来创建ConfigMap。 方式一:手工输入。参照表1设置新增配置参数,其中带“*”标志的参数为必填参数。 表1 新建配置参数说明 参数 参数说明 基本信息 *配置项名称 新建的ConfigMap名称。
常简单,如下,为Pod设置了app=nginx和env=prod两个Label。 apiVersion: v1 kind: Pod metadata: name: nginx labels: # 为Pod设置两个Label
密钥(Secret)”,在右侧页面中选择命名空间,单击“创建密钥”。 云容器实例支持“手工输入”和“文件上传”两种方式来创建Secret。 方式一:手工输入。参照表1设置基本信息,其中带“*”标志的参数为必填参数。 表1 基本信息说明 参数 参数说明 基本信息 *密钥名称 新建Secret的名称。 以小写字
请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能,与服务提供的SDK不同,使用时请注意。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。
sh all”命令,则在界面上做如下配置即可,第一行是命令行脚本名称,第二行是参数。 图1 命令行脚本 使用kubectl设置容器生命周期 使用kubectl设置容器生命周期请参见生命周期管理。 父主题: 工作负载
高性能计算:提供高性能计算、网络和高I/O存储,满足密集计算的诉求 极速弹性:秒级资源准备与弹性,减少计算过程中的资源处理环节消耗 免运维:无需感知集群和服务器,大幅简化运维工作、降低运维成本 随启随用、按需付费:容器按需启动,按资源规格和使用时长付费 图2 科学计算 DevOps持续交付 软件开
CCI支持Pod资源基础监控能力,提供CPU、内存、磁盘、网络等多种监控指标,满足对Pod资源的基本监控需求。 Pod内置系统agent,默认会以http服务的形式提供Pod和容器的监控指标。agent集成到Pod里面,会占用Pod内资源,建议您预留30MB的内存。 资源监控指标 资源基础监控包
什么是安全容器? 安全容器这个概念主要与普通容器进行比较的。 和普通容器相比,它最主要的区别是每个容器(准确地说是pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。因为云容器实例采用的是共享多租集群,因此容器的安全隔离比用户独立拥有私有Kuberne
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
