检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
store.json”,目的是在应用恢复时自动更换PVC、StatefulSet的存储类名称,以及工作负载所使用镜像的Repository地址。 文件内容如下: { "StorageClass": "OldStorageClassName": "NewStorageClassName"
store.json”,目的是在应用恢复时自动更换PVC、StatefulSet的存储类名称,以及工作负载所使用镜像的Repository地址。 文件内容如下: { "StorageClass": "OldStorageClassName": "NewStorageClassName"
k8spspautomountserviceaccounttokenpod 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数:无 作用 约束容器不能设置automountServiceAccountToken为true。 策略实例示例 示例声明了match匹配的对象不能把automount
通过MCI访问服务失败,如何排查? 若您在创建MCI后访问服务失败,请检查MCI对象是否配置成功。 请登录ELB控制台,根据MCI绑定的ELB实例ID,找到并单击对应的ELB实例名称进入elb监听器页面,找到对应的监听器单击“添加/编辑转发策略”,进入ELB监听器的转发策略页面,
RuleNamespace objects 集群包含的RuleNamespace列表 apiEndpoint String apiserver地址 secretRef LocalSecretReference object 访问集群的secret信息 insecureSkipTLSVerification
store.json”,目的是在应用恢复时自动更换PVC、StatefulSet的存储类名称,以及工作负载所使用镜像的Repository地址。 文件内容如下: { "StorageClass": "OldStorageClassName": "NewStorageClassName"
否生效。 查看方法如下: 在浏览器中输入地址 http://$GATEWAY_ELB_IP:$GATEWAY_PORT/ ,其中, $GATEWAY_ELB_IP 是路由引用的whtest命名空间下名为gwtest1的网关的负载均衡公网地址; $GATEWAY_PORT是gwtest1网关的监听器对外端口。
攻击者具有集群工作负载的创建或更新权限,创建工作负载时设置容器进程的WORKDIR为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。 工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限,将镜像中WORKDIR设置为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。
集群的命名空间上。 本章节以“只读权限”为例,介绍为用户授予Kubernetes资源权限的方法,操作流程如图1所示。 UCS的集群操作权限设置仅对非华为云集群生效。对于华为云集群(CCE集群、CCE Turbo集群)的操作权限以IAM权限或者CCE RBAC权限为准。 授权流程 图1
单击右上角“创建命名空间”。 图1 创建命名空间 参照下表信息设置命名空间参数。 参数 参数说明 名称 新建命名空间的名称,命名必须唯一。 描述 输入对命名空间的描述信息。 标签 为命名空间添加标签键值对 建议根据需要在命名空间中设置资源配额,避免因资源过载导致集群或节点异常。 例如:在
线路类型 运营商线路解析:根据访问用户所在运营商网络调度到最佳访问地址。默认值为“电信/地区默认”,支持指定运营商及地区,其中地区选择的细粒度为省级。 地域解析:根据访问用户所处地理位置调度到最佳访问地址。默认值为“中国大陆/地区默认”,支持全球地域选择,其中中国大陆地区细粒度为省级,其余地域细粒度为国家/地区。
RuleNamespace objects 集群包含的RuleNamespace列表 apiEndpoint String apiserver地址 secretRef LocalSecretReference object 访问集群的secret信息 insecureSkipTLSVerification
on容灾能力,请保证两个ELB实例,跨Region部署。该ELB实例需要为独享型、支持应用型(HTTP/HTTPS)、支持私网(有私有IP地址),并且开启了跨VPC后端开关,具体创建步骤请参见创建独享型负载均衡器。 打通ELB的VPC与Kubernetes集群间的网络,确保ELB实例与容器Pod
IP转发。 模式依赖: 在underlay模式下,运行Cilium的主机的网络必须能够使用分配给Pod或其他工作负载的地址转发IP流量,需要关闭节点的源目的地址检查,并且节点安全组按需放通容器网段的端口及协议。 Cilium对接主机BGP 使用Cilium BGP Control
s/kubelet/cpu_manager_state”文件储存的是原先的cpu_manager_policy,是针对原先CPU核数的绑核设置,需要进行删除。然后重启kubelet,让cpu_manager根据现有的CPU Topology进行绑核,重新生成cpu_manager_state。
每天:在每天具体的某一个时间执行一次,可具体到分钟。设置完成后,策略将会在每天的该时点执行。 每周:在每周具体的某一天内的某一时间执行一次,可具体到分钟。设置完成后,策略将会在每周的该天该时点执行。 每月:在每月具体的某一天内的某一时间执行一次,可具体到分钟。设置完成后,策略将会在每月的该天该时点执行。
公网接入: 检查集群是否绑定公网IP或配置公网NAT网关。 检查集群安全组的出方向是否放通。如需对出方向做访问控制,请联系技术支持获取目的地址和端口号。 解决网络问题后,删掉已有的proxy-agent Pod使其重新生成Pod资源,查看新建Pod的日志中是否存在“Start serving”的日志打印。
问题原因:联邦需要访问CCE集群的5443端口,但是CCE集群的控制面安全组入方向规则不允许124.70.21.61(源地址)访问CCE集群的5443端口。 解决方案:修改CCE控制面入方向安全组,允许124.70.21.61(源地址)访问CCE集群的5443端口。 现象四:显示已接入集群联邦,状态异常,报错:cluster
单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“服务授权”,进入服务授权详情页。 单击右上角“YAML创建”,弹出服务授权YAML创建界面。 设置如下:满足特定条件的请求访问才会被接受,其他不满足所设定条件的请求访问都会被拒绝。 apiVersion: security.istio.io/v1beta1
生效资源类型:Pod 参数: cpu:字符串 memory:字符串 exemptImages:字符串数组 作用 限制CPU和内存的Request必须设置且小于配置的最大值。 策略实例示例 示例配置了CPU和内存的最大Request。 apiVersion: constraints.gatekeeper
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
