检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
cache CREDENTIAL_CACHE 是否开启将IAM Token缓存到本地,提高访问性能,默认为true。 注意: 在非安全环境,建议关闭此选项。
Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。
DDOS攻击:分布式拒绝服务攻击,在多台机器一起攻击一个目标,通过大量互联网流量淹没目标或其周围基础设施,从而破坏目标服务器、服务或网络的正常流量时发生。 父主题: 漏洞公告
k8sblocknodeport 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数:无 作用 不允许Service为NodePort类型。 策略实例示例 apiVersion: constraints.gatekeeper.sh/v1beta1 kind
k8spspforbiddensysctls 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedSysctls:数组 forbiddenSysctls:数组 作用 约束PodSecurityPolicy中的“sysctls”字段不能使用的name
k8spspfsgroup 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: rule: 字符串,支持MayRunAs、MustRunAs和RunAsAny ranges max: 整型 min: 整型 作用 控制PodSecurityPolicy中的
k8spspprocmount 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 procMount:字符串 作用 约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例
使用策略定义库 策略定义库概述 k8spspvolumetypes k8spspallowedusers k8spspselinuxv2 k8spspseccomp k8spspreadonlyrootfilesystem k8spspprocmount k8spspprivilegedcontainer
k8spsphostfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedHostPaths: readOnly: 布尔值 pathPrefix: 字符串 作用 约束PodSecurityPolicy中的“hostPath
k8scontainerratios 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: ratio:字符串 cpuRatio:字符串 exemptImages:字符串数组 作用 限制容器的limit对request比例的最大值。 策略实例示例 限制容器的limit
k8spspcapabilities 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedCapabilities:数组 exemptImages:字符串数组 requiredDropCapabilities:数组 作用 限制PodSecurityPolicy
基础软件规划 节点的操作系统、内核版本等基础软件需要符合表1中的版本要求。 表1 基础软件规划 系统架构 系统类型 网络模型支持 操作系统版本 内核版本限制 x86 Ubuntu 20.04 Cilium 检查命令:cat /etc/lsb-release DISTRIB_DESCRIPTION
创建存储卷声明 通过UCS控制台创建存储卷声明(PVC)后,系统将自动为您在部署集群中创建一个同名的PVC,并同时创建与该PVC绑定的存储卷(PV)及其对应的存储资源。如您对Kubernetes中存储卷、存储卷声明及存储资源之间的关系不够了解,请参见持久化存储。 您可以在集群中对UCS
数据规划 防火墙规划 防火墙的规划需符合表1中要求。 表1 防火墙规划 源设备 源IP 源端口 目的设备 目的IP 目的端口(侦听) 协议 端口说明 侦听端口是否可更改 认证方式 加密方式 ucsctl执行机 源设备所在节点IP ALL 所有节点 目的设备所在节点IP 22 TCP
获取集群列表 功能介绍 获取集群信息列表 URI GET /v1/clusters 表1 Query参数 参数 是否必选 参数类型 描述 category 否 String 获取特定category的集群。 enablestatus 否 Boolean 是否获取集群的资源信息。不填或者填写为
k8spsphostnamespace 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数:无 作用 限制PodSecurityPolicy中的“hostPID”和“hostIPC”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion
k8spspreadonlyrootfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“readOnlyRootFilesystem”字段。 策略实例示例
k8sblockloadbalancer 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数:无 作用 不允许Service为LoadBalancer类型。 策略实例示例 apiVersion: constraints.gatekeeper.sh/v1beta1
注册集群 功能介绍 集群注册接口。支持三方集群的注册和CCE导入集群的注册。 URI POST /v1/clusters 请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 最小长度:1 最大长度:16384
k8sallowedrepos 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: repos:字符串数组 作用 容器镜像必须以指定字符串列表中的字符串开头。 策略实例示例 以下策略实例定义容器镜像必须以“openpolicyagent/”开头。 apiVersion
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
