检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在CCE集群中使用密钥Secret的安全配置建议 当前CCE已为secret资源配置了静态加密,用户创建的secret在CCE的集群的etcd里会被加密存储。当前secret主要有环境变量和文件挂载两种使用方式。不论使用哪种方式,CCE传递给用户的仍然是用户配置时的数据。因此建议: 用户不应在日志中对相关敏感信息进行记录;
选择自定义规格时,您可根据需求调整插件实例的容器规格。 在参数配置页面,配置以下参数。 访问方式:支持“节点访问”,通过集群节点绑定的弹性公网IP进行访问,当集群节点未绑定弹性IP时无法正常使用。 证书配置:dashboard服务端使用的证书。 使用自定义证书 您需要参考样例填写pem格式的“证书文件”和“证书私钥”。
Kubernetes中没有代表普通账户的对象,这类账户默认由外部服务独立管理,比如在CCE的用户是由IAM管理的。 与Pod、ConfigMap类似,ServiceAccount是Kubernetes中的资源,属于命名空间级别。当创建一个新的命名空间时,系统会自动在其中生成一个名为default的ServiceAccount。
您可以根据工作负载标签,使用标签选择器来筛选需要亲和/反亲和的Pod,并将新建的工作负载调度/不调度至目标Pod所在的节点(或节点组),同时支持必须满足和尽量满足的亲和性规则。 说明: 工作负载亲和性和反亲和性需要一定的计算时间,因此在大规模集群中会显著降低调度的速度。在包含数百个节点的集群中,不建议使用这类设置。
如何删除Terminating状态的命名空间? Kubernetes中namespace有两种常见的状态,即Active和Terminating状态。当对应的命名空间下还存在运行的资源,但该命名空间被删除时才会出现Terminating状态,这种情况下只要等待Kubernetes本身将命名空间下的资源回收后,该命名空间将会被系统自动删除。
储在宿主机上的目录,比如一个NFS的挂载目录。 PVC:PVC描述的是Pod所希望使用的持久化存储的属性,比如,Volume存储的大小、可读写权限等等。 Kubernetes管理员设置好网络存储的类型,提供对应的PV描述符配置到Kubernetes,使用者需要存储的时候只需要创建
个独立的集群访问凭证(kubeconfig或X509证书),该凭证包含了用户身份及授权信息,以便其可以连接到相应的集群并执行授权范围内的操作。这种方式可以确保不同用户之间的隔离和安全性,同时也方便了管理和授权。但该凭证的有效时间一般为固定值,当持有该凭证的员工离职或已授权的凭证疑
监听器证书配置及更新说明 当前支持在集群中使用以下方式配置Ingress证书: 使用TLS类型的密钥证书:由Secret承载证书内容,证书内容在CCE侧维护,并自动在ELB侧进行证书的创建、更新或删除。配置在Ingress的spec.tls字段下。 使用ELB服务中的证书:直接使
服务所需的证书 IngressTLS:CCE提供的TLS密钥类型,用于存放7层负载均衡服务所需的证书。 其他:若需要创建其他自定义类型的密钥,可手动输入密钥类型。 无 允许 - 镜像仓库凭据、负载均衡证书等常见密钥应用场景存在相应的分类,系统会对此类型密钥的数据进行基本的格式校验,无明确分类的密钥可选择一般密钥类型
Ingress控制器插件配置的ssl-ciphers参数中添加@SECLEVEL=0字段,以启用对更多TLS版本的支持。更多详情请参见TLS/HTTPS。 登录CCE控制台,进入集群,在左侧导航栏中选择“插件中心”,单击NGINX Ingress控制器下的“管理”。 单击对应控制器实例的“编辑”按钮。
json文件,kubectl使用该文件中的证书和私钥信息可以控制整个集群。在不需要时,请清理节点上的/root/.kube目录下的目录文件,防止被恶意用户利用: rm -rf /root/.kube 加固VPC安全组规则 CCE作为通用的容器平台,安全组规则的设置适用于通用场景。用户可根据
io/ssl-redirect注解进行配置,对应的参数值可设置为“true”或“false”: true:使用TLS证书时,将HTTP访问重定向至HTTPS(状态码为308)。 false:使用TLS证书时,禁止将HTTP访问重定向至HTTPS。 如果您在没有使用TLS证书的情况
Indication)是TLS的扩展协议,在该协议下允许同一个IP地址和端口号下对外提供多个基于TLS的访问域名,且不同的域名可以使用不同的安全证书。开启SNI后,允许客户端在发起TLS握手请求时就提交请求的域名信息。负载均衡收到TLS请求后,会根据请求的域名去查找证书:若找到域名对应的证书,则返回该
周期性的从外部下载文件存到这个固定目录下。 图1 Pod 实际使用中很少直接创建Pod,而是使用Kubernetes中称为Controller的抽象层来管理Pod实例,例如Deployment和Job。Controller可以创建和管理多个Pod,提供副本管理、滚动升级和自愈能力
像服务控制台,进入“我的镜像”,单击“客户端上传”,在弹出的页面即可查看SWR当前Region的镜像仓库地址。 访问ID:遵循SWR的长期有效的认证凭证规则,以“区域项目名称@[AK]”形式填写。 访问密码:遵循SWR的长期有效的认证凭证规则,需要用AK和SK来生成,详细说明请参考获取长期有效登录指令。
筛选结果中将会包含多个安全组,找到控制节点的安全组(以[cce集群名称]-cce-control开头),单击“配置规则”。 修改入方向的5443端口规则,单击“修改”。 根据需求修改允许访问的源地址。例如,客户端需要访问API Server的IP为100.*.*.*,则可添加5443端口入方向规则的源地址为100
集群管理 创建集群 获取指定的集群 获取指定项目下的集群 更新指定的集群 删除集群 集群休眠 集群唤醒 获取集群证书 吊销用户的集群证书 变更集群规格 获取任务信息 绑定、解绑集群公网apiserver地址 获取集群访问的地址 查询集群日志配置信息 配置集群日志 获取分区列表 创建分区
集群绑定或解绑弹性IP、配置或更新自定义域名时,集群服务端证书将同步签入最新的集群访问地址(包括集群绑定的弹性IP、集群配置的所有自定义域名)。 异步同步集群通常耗时约5-10min,同步结果可以在操作记录中查看“同步证书”。 对于已绑定EIP的集群,如果在使用双向认证时出现认证不通过的情况(x509: certificate
ngress自动创建的监听器、转发策略、转发规则、后端云服务器组、后端云服务器和证书配置。 升级后会覆盖您在ELB自行修改的内容,请整改后再进行集群升级。 解决方案 根据诊断分析中的日志排查哪些资源需要整改,常见场景是在Ingress对接的监听器下配置了其他的转发策略,导致监听器
但不支持操作云服务层面的基础设施(如创建节点)。 使用集群接口时,无需配置集群管理(IAM)权限,仅需在调用集群接口时带上集群证书。但是,集群证书需要有集群管理(IAM)权限的用户进行下载,在证书传递过程中可能存在泄露风险,应在实际使用中注意。 父主题: 权限
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
