检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
系统委托说明 由于CCI服务在运行中对弹性负载均衡、容器镜像等各类云服务都存在依赖关系,因此当您首次登录CCI控制台时,CCI将自动请求获取当前区域下的云资源权限,从而更好地为您提供服务。CCI服务与其他服务的关系详细信息参考见与其他服务的关系。 CCI自动创建的委托:cci_admin_trust
租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。
为满足数据的持久化需求,云容器实例支持将云硬盘(EVS)挂载到容器中。通过云硬盘,可以将存储系统的远端文件目录挂载到容器中,数据卷中的数据将被永久保存,即使删除了容器,只是卸载了挂载数据卷,数据卷中的数据依然保存在存储系统中。 EVS目前支持普通I/O(上一代产品)、高I/O、超高I/O三种规格。
创建Namespace 功能介绍 创建一个Namespace。 当前云容器实例提供“通用计算型”和“GPU加速型”两种类型的资源,创建命名空间时需要选择资源类型,后续创建的负载中容器就运行在此类型的集群上。调用接口时必须指定metadata.annotations中namespace
修改/dev/shm容量大小 应用场景 /dev/shm由tmpfs文件系统构成,tmpfs是Linux/Unix系统上的一种基于内存的文件系统,故读写效率非常高。 目前有用户希望通过/dev/shm实现进程间数据交互或通过/dev/shm实现临时数据存储,此时CCI场景/dev
导入SFS 1.0容量型文件系统 云容器实例支持导入已有的SFS文件存储。 登录云容器实例控制台,单击左侧导航栏的“存储管理 > 文件存储卷”。 如果您在弹性文件存储中创建了文件存储,可以这里导入后使用,请执行2。 如果您还没创建文件存储,可以直接在这里创建,请执行3。 单击“导入”
配额的详细信息请参见关于配额。 登录管理控制台。 单击管理控制台左上角的,选择区域和项目。 在页面右上角,选择“资源 > 我的配额”。 系统进入“服务配额”页面。 图1 我的配额 您可以在“服务配额”页面,查看各项资源的总配额及使用情况。 图2 CCI资源配额 父主题: 容器工作负载类
容器实例被驱逐 如果节点超负荷运行,无法承受的话,系统会自动清理一些任务。 建议根据实际使用量来申请资源。 父主题: 容器工作负载类
给用户授权CCI权限流程 创建用户组并授权 在IAM控制台创建用户组(例如开发人员组),并授予云容器实例普通用户权限“CCI CommonOperations”。因为CCI为项目级服务,所以在给用户授予CCI相关系统策略权限时,还需要给用户授予IAM ReadOnlyAccess。 创建用户并加入用户组
CCI权限:是基于IAM的细粒度授权。通过命名空间级别权限设置可以控制用户操作Namespace(如创建、删除Namespace等)。更多细粒度权限说明请参见CCI细粒度鉴权系统策略关联Actions。 CCI服务暂不支持Landingzone场景。 创建Namespace时,打开RBAC鉴权开关,则此Namesp
ce。 创建Namespace Namespace下需要有一个Network关联VPC及子网,创建完Namespace后需要创建一个Network。 通常情况下,没有频繁创建Namespace的需求,建议通过云容器实例的控制台界面创建Namespace,具体方法请参见创建命名空间。
被限流的CPU时间(单位:秒) 文件系统/磁盘IO container_fs_inodes_free 文件系统的可用inode数量 container_fs_usage_bytes 文件系统的使用量(单位:字节) container_fs_inodes_total 文件系统的总计inode数量
如果当前配额不能满足业务要求,可申请扩大配额。配额的详细信息请参见关于配额。 单个CCI实例的vCPU数量 0.25核-32核,或者自定义选择48核、64核。 支持的容器操作系统类型 仅支持Linux容器。 CCI实例的网络类型 仅支持VPC网络。 Kubernetes应用限制 基于华为云的安全性带来的限制,CC
形化控制台,让您能够拥有完整的端到端使用体验,使用云容器实例前,建议您先了解相关的基本概念。 镜像(Image) 容器镜像是一个特殊的文件系统,除了提供容器运行时所需的程序、库、资源、配置等文件外,还包含了一些为运行时准备的配置参数(如匿名卷、环境变量、用户等)。镜像不包含任何动态数据,其内容在构建之后也不会被改变。
oyment Workloads的定义方式相同,是对Pod的服务化封装。一个无状态负载可以包含一个或多个Pod,每个Pod的角色相同,所以系统会自动为无状态负载的多个Pod分发请求。同一无状态负载的所有Pod共享存储卷。 在Pod这个章节介绍了Pod,Pod是Kubernetes
查看云审计日志 操作场景 开启了云审计服务后,系统开始记录CCI资源的操作。云审计服务管理控制台保存最近7天的操作记录。 操作步骤 登录管理控制台。 单击管理控制台左上角的图标,选择区域。 单击页面上方的“服务列表”,选择“管理与监管 > 云审计服务”,进入云审计服务信息页面。
对于SFS 3.0多读场景,数据存在缓存的情况,会导致原数据读取延迟。如果需要实时读取数据,可为已创建的文件系统指定挂载参数。 挂载参数可设置mount命令指定文件系统挂载的选项,当前支持noac,即用于禁止本地的文件和目录缓存,支持客户端实时从远端SFS 3.0读取数据。 此
内核参数配置 CCI服务底座使用安全容器构建了业内领先的Serverless容器平台,同物理机系统内核隔离且互不影响。对于资深业务部署场景,内核参数调优是比较通用的方式。在安全范围内,CCI服务允许客户根据Kubernetes社区推荐的方案,通过Pod的安全上下文(Security
Pod资源监控指标 CCI支持Pod资源基础监控能力,提供CPU、内存、磁盘、网络等多种监控指标,满足对Pod资源的基本监控需求。 Pod内置系统agent,默认会以http服务的形式提供Pod和容器的监控指标。 CCI支持的资源监控指标,请参见资源监控指标。 Pod资源基础监控能力,请参见Pod资源监控指标。
安全容器这个概念主要与普通容器进行比较的。 和普通容器相比,它最主要的区别是每个容器(准确地说是pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。因为云容器实例采用的是共享多租集群,因此容器的安全隔离比用户独立拥有私有Kubernetes集群有更严格的
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
