检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Region对应的值请参见地区和终端节点。 例如{"cn-south-4": "https://obs.cn-south-4.myhuaweicloud.com:443", "cn-north-4": "https://obs.cn-north-4.myhuaweicloud.com:443"}
Kubernetes虽然不负责搭建网络模型,但要求集群网络满足以下要求: Pod能够互相通信,且Pod必须通过非NAT网络连接,即收到的数据包的源IP就是发送数据包Pod的IP。 节点之间可以在非NAT网络地址转换的情况下通信。 Pod通信 同一个节点中的Pod通信 Pod通过虚拟Ethernet接口对(Veth
关联存储卷:选择上一步中已创建的存储卷。 前往“工作负载”页面,查看原来的有状态工作负载,单击“更多>编辑YAML”,单击“下载”或复制YAML文件的全部内容,在本地进行备份。 删除原来的有状态应用,并将上一步复制的工作负载YAML配置进行以下修改: volumeClaimTemplates字段下的storageClassName:
参数解释: 磁盘加密标识符,0代表不加密,1代表加密,不填则无磁盘加密标识符限制。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 metadataCmkid 否 String 参数解释: 加密磁盘的用户主密钥ID,长度为36字节的字符串,不填则无磁盘密钥ID限制。 约束限制:
data 配置数据 配置项承载的配置信息内容 参数名 取值范围 默认值 是否允许修改 作用范围 data 数据为key:value键值对形式的数组,其中 key: 由小写字母、数字、中划线(-)、下划线(_)、点(.)组成,长度不超过253位 value值无特别限制 整体数据量不超过1MB大小
字段设置为KMS,则支持填写该字段。若字段为空,则默认使用KMS默认密钥进行填充,默认密钥不存在时云服务将自动为用户创建cce/default默认密钥。 用户需使用真实存在的KMS密钥,并且在集群生命周期结束前,禁止删除、禁用密钥等操作,防止集群功能异常(集群设置该密钥后不允许修改)。
建快照。 加密磁盘的快照数据以加密方式存放,非加密磁盘的快照数据以非加密方式存放。 使用场景 快照功能可以帮助您实现以下需求: 日常备份数据 通过对云硬盘定期创建快照,实现数据的日常备份,可以应对由于误操作、病毒以及黑客攻击等导致数据丢失或不一致的情况。 快速恢复数据 更换操作系
如非必须,不建议容器与宿主机共享IPC命名空间 如非必须,不建议容器与宿主机共享UTS命名空间 如非必须,不建议将docker的sock文件挂载到任何容器中 容器的权限访问控制 使用容器应用时,遵循权限最小化原则,合理设置Deployment/Statefulset的securityContext:
服务器默认证书:选择一个IngressTLS或kubernetes.io/tls类型的密钥,用于配置Nginx Ingress控制器启动时的默认证书。如果无可选密钥,您可以单击“创建TLS类型的密钥证书”进行新建,详情请参见创建密钥。关于默认证书更多说明请参见Default SSL Certificate。
待操作节点列表,当前最多支持同时移除200个节点。 表5 Login 参数 是否必选 参数类型 描述 sshKey 否 String 参数解释: 选择密钥对方式登录时的密钥对名称。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 userPassword 否 UserPassword object
参数解释: 磁盘加密标识符,0代表不加密,1代表加密,不填则无磁盘加密标识符限制。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 metadataCmkid 否 String 参数解释: 加密磁盘的用户主密钥ID,长度为36字节的字符串,不填则无磁盘密钥ID限制。 约束限制:
参数解释: 磁盘加密标识符,0代表不加密,1代表加密,不填则无磁盘加密标识符限制。 约束限制: 不涉及 取值范围: 不涉及 默认取值: 不涉及 metadataCmkid 否 String 参数解释: 加密磁盘的用户主密钥ID,长度为36字节的字符串,不填则无磁盘密钥ID限制。 约束限制:
4-r0及以上集群版本中支持修改。 重定向至HTTPS:开启后进行HTTPS端口配置。 对外端口:HTTPS协议的端口。 证书来源:支持TLS密钥和ELB服务器证书。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。
双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。 服务器证书:当监听器端口启用
等待其它模块Ready:比如有一个应用里面有两个容器化的服务,一个是Web Server,另一个是数据库。其中Web Server需要访问数据库。但是当启动这个应用的时候,并不能保证数据库服务先启动起来,所以可能出现在一段时间内Web Server有数据库连接错误。为了解决这个问题,可以在运行Web Server服务的Pod里使用一个Init
联邦用户不支持创建永久访问密钥AK/SK,在需要使用AK/SK的场景(如创建OBS类型PV/PVC时),只能由账号或是实体IAM用户创建密钥,共享给联邦用户。由于密钥表示用户所拥有的权限,因此建议由与联邦用户同在一个用户组的实体IAM用户创建并分享密钥。 IAM支持的授权项 策略
建议使用低权限账号启动,否则可能会造成宿主机高危文件被破坏。 子路径 请输入存储卷的子路径,将存储卷中的某个路径挂载至容器,可以实现在单一Pod中使用同一个存储卷的不同文件夹。如:tmp,表示容器中挂载路径下的数据会存储在存储卷的tmp文件夹中。不填写时默认为根路径。 权限 只读:只能读容器路径中的数据卷。 读写:
分析应用 应用在容器化改造前,您需要了解自身应用的运行环境、依赖包等,并且熟悉应用的部署形态。需要了解的内容如表1。 表1 了解应用环境 类别 子类 说明 运行环境 操作系统 应用需要运行在什么操作系统上,比如centos或者Ubuntu。 本例中,应用需要运行在centos:7
容器安全插件 CCE密钥管理(对接 DEW) 容器镜像签名验证 父主题: 插件
操作。 监控数据上报至第三方监控平台:将普罗数据上报至第三方监控系统,需填写第三方监控系统的地址和Token,并选择是否跳过证书认证。 本地数据存储:将普罗数据存储在集群中的PVC存储卷里,选择用于存储监控数据的磁盘类型和大小。存储卷不随插件卸载而删除。开启本地数据存储时,将部署全量组件,详情请参见组件说明。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
