检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
k8spspvolumetypes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: volumes:数组 作用 约束PodSecurityPolicy中的“volumes”字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,paramete
p:定义要保留的审计日志文件的最大数量。 将上述启动参数填写至配置文件kube-apiserver.yaml时,注意与kube-apiserver.yaml中的启动参数格式保持一致,且不能存在制表符(tab)。 (可选)如果您的kube-apiserver是以Pod形式存在,请按如下步骤将审计日志持久化到主机上。
min: 整型 max: 整型 作用 约束PodSecurityPolicy中的runAsUser、runAsGroup、supplementalGroups和fsGroup字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中定义了对runA
[镜像名称1:版本名称1]:等待上传的本地镜像名称和版本名称。 [镜像仓库地址]:可在SWR控制台上查询。 [组织名称]:您在SWR控制台创建的组织名称。 [镜像名称2:版本名称2]:SWR中显示的镜像名称和镜像版本。 示例: docker tag nginx:v1 swr.cn-north-4
K8s废弃API检查异常处理 检查项内容 系统会扫描过去一天的审计日志,检查用户是否调用目标K8s版本已废弃的API。 由于审计日志的时间范围有限,该检查项仅作为辅助手段,集群中可能已使用即将废弃的API,但未在过去一天的审计日志中体现,请您充分排查。 解决方案 检查说明 根据检
en-pod spec: match: kinds: - apiGroups: [""] kinds: ["Pod"] excludedNamespaces: ["kube-system"] 符合策略实例的资源定义 Pod的auto
authorization.k8s.io"] kinds: ["ClusterRole"] 符合策略实例的资源定义 示例中ClusterRole的生效对象中没有endpoints,符合策略实例。 apiVersion: rbac.authorization.k8s.io/v1 kind:
/apis/rbac.authorization.k8s.io 功能介绍 get information of a group 调用方法 请参见如何调用API。 URI GET /apis/rbac.authorization.k8s.io 请求参数 表1 请求Header参数 参数
查询所有metrics.k8s.io/v1beta1的API 功能介绍 get available resources 调用方法 请参见如何调用API。 URI GET /apis/metrics.k8s.io/v1beta1 请求参数 表1 请求Header参数 参数 是否必选
k8scontainerlimits 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: cpu:字符串 memory:字符串 exemptImages:字符串数组 作用 限制容器必须设置CPU和内存Limit,并且小于设定的最大值。 策略实例示例 示例展示了
kinds: ["Pod"] parameters: cpu: "200m" memory: "1Gi" 符合策略实例的资源定义 CPU和内存的Request小于配置的最大值,符合策略实例。 apiVersion: v1 kind: Pod metadata:
k8scontainerratios 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: ratio:字符串 cpuRatio:字符串 exemptImages:字符串数组 作用 限制容器的limit对request比例的最大值。 策略实例示例 限制容器的li
将自动触发内置评测的报告对比,如果同时存在多个自定义评测任务对比文件(符合要对比文件要求)也将触发评测报告对比,此时将产生2份报告对比文件。 选择任务。 当对比来源为“已有评测任务”时,下拉框选择任务和对比文件。如果符合自定义评测结果对比条件(含自定义评测结果的任务数量不少于2)
采集名称符合正则规则的Namespace的日志,为空时采集所有Namespace的日志。 K8s Pod正则匹配 通过Pod名称指定待采集的容器,支持正则匹配。 说明: 采集名称符合正则规则的Pod的日志,为空时采集所有Pod的日志。 K8s容器名称正则匹配 通过容器名称指定待采集的容器(Ku
k8spspprocmount 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 procMount:字符串 作用 约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例
kinds: ["Pod"] parameters: allowedProfiles: - runtime/default 符合策略实例的资源定义 示例中apparmor的值在上述定义的允许范围内,符合策略实例。 apiVersion: v1 kind: Pod metadata:
约束Pod定义SELinux配置的允许列表。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中的allowedSELinuxOptions定义了参数的允许列表。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPSELinuxV2
K8s废弃资源检查异常处理 检查项内容 检查集群是否存在对应版本已经废弃的资源。 解决方案 问题场景一: 1.25及以上集群中的service存在废弃的annotation:tolerate-unready-endpoints 报错日志信息如下: some check failed
k8spsphostnetworkingports 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages: 字符串数组 hostNetwork: max: 整型 min: 整型 作用 约束PodSecurityPolicy中的
获取健康对比对象级对比概览 功能介绍 获取健康对比对象级对比概览。 URI GET /v5/{project_id}/jobs/{job_id}/health-compare-jobs/object/{compare_job_id} 表1 路径参数 参数 是否必选 参数类型 描述
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
