检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
allowedProfiles: - runtime/default 符合策略实例的资源定义 示例中apparmor的值在上述定义的允许范围内,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: nginx-apparmor-allowed
重试 开启重试,服务访问失败时会自动重试,提高总体访问成功率和质量。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: ratings-route spec:
excludedNamespaces: ["kube-system"] 符合策略实例的资源定义 Pod的automountServiceAccountToken字段设为false,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: nginx-
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另
docker/default 符合策略实例的资源定义 示例中的container.seccomp.security.alpha.kubernetes.io/nginx注解的value在设定的值列表中,符合策略定义。 apiVersion: v1 kind: Pod metadata:
allowedIPs: - "203.0.113.0" 符合策略实例的资源定义 externalIPs中的IP为允许列表中的IP,符合策略实例。 apiVersion: v1 kind: Service metadata: name: allowed-external-ip
策略定义与策略实例的基本概念 策略定义 在创建策略实例之前,您需要先定义一个策略定义,它描述了强制执行约束的Rego代码和约束的模式。约束的模式允许管理员像调整函数参数一样微调约束的行为。策略定义中的Rego代码描述了强制执行的具体逻辑,根据您的需求来实现不同的合规性规则。而约束
exemptImages:字符串数组 作用 约束Pod定义SELinux配置的允许列表。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中的allowedSELinuxOptions定义了参数的允许列表。 apiVersion: constraints.gatekeeper
test", "openpolicyagent/opa-exp2:latest"] 符合策略实例的资源定义 容器镜像tag不为latest,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: opa-allowed spec:
allowedIPs: - "203.0.113.0" 符合策略实例的资源定义 externalIPs中的IP为允许列表中的IP,符合策略实例。 apiVersion: v1 kind: Service metadata: name: allowed-external-ip
CORS 当一个资源向该资源所在服务器的不同的域发起请求时,就会产生一个跨域的HTTP请求。出于安全原因,浏览器会限制从脚本发起的跨域HTTP请求。通过跨域资源共享CORS机制可允许Web应用服务器进行跨域访问控制,使跨域数据传输安全进行。 YAML设置如下: apiVersion:
[A-Za-z]{2,6}|[a-z]{1,39})$ 作用 要求资源包含指定的标签,其值与提供的正则表达式匹配。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中指定了提示信息message以及label的约束定义。 apiVersion: constraints.gatekeeper
参数: volumes:数组 作用 约束PodSecurityPolicy中的“volumes”字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters的volumes字段定义了允许的类型列表。 apiVersion: constraints.gatekeeper
头域控制 开启头域控制,可以灵活增加、修改和删除指定HTTP头域,非侵入方式管理请求内容。只支持路由上的头域操作,暂不支持对于特定后端的头域操作。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService
(Forbidden)怎么办? 问题描述 在使用集群联邦的过程中,执行kubectl命令,出现如下所示的报错信息。 可能原因 可能是由于集群联邦内成员集群的资源对象ClusterRole或者ClusterRoleBinding被删除。集群联邦内若有一个及以上的成员集群出现上述情况,就会导致kubectl命令请求中断并返回该错误。
UCS集群联邦可以实现基于华为云IAM的精细化权限管理。并在联邦中创建 Kubernetes 原生 RBAC 资源,实现联邦访问权限的精细化管理。 使用须知 UCS的权限管理功能与当前联邦RBAC授权互不影响。使用UCS API时,前者生效;使用KubeConfig直接操作联邦时,后者生效。 在集群联邦和成员集
应用场景 在分布式集群场景下,为了给用户提供低延迟的服务,应用可能部署在不同区域、不同厂商的云端上,在某个地区集群发生故障时,该地区的用户访问也随之会受到影响。利用UCS的流量管理和应用数据管理功能,可以实现多云多集群场景下的应用故障倒换、调度和迁移,故障倒换方案示意如图1所示。 图1 多云集群应用故障倒换示意图
在每天的该时点执行。 每周:在每周具体的某一天内的某一时间执行一次,可具体到分钟。设置完成后,策略将会在每周的该天该时点执行。 每月:在每月具体的某一天内的某一时间执行一次,可具体到分钟。设置完成后,策略将会在每月的该天该时点执行。 每年:在每年具体的某月某天内的某一时间执行一次
用户订阅服务后,可通过控制台选择指定的集群进行实例的创建,可以自定义将实例分发到不同区域下的目标集群。 约束与限制 已添加一个可用集群,集群版本为v1.15及以上,且集群中至少包含一个可用节点。 部分服务只支持特定的CPU架构,只能部署到对应CPU架构的集群中。 操作步骤 需要存储资源的实例在创建实例
cpu:字符串 memory:字符串 exemptImages:字符串数组 作用 限制容器必须设置CPU和内存Limit,并且小于设定的最大值。 策略实例示例 示例展示了匹配的对象的CPU最大为200m,内存最大为1G。 apiVersion: constraints.gatekeeper
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
