检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
操作场景 集群中的每一个节点对应一台云服务器,集群节点创建成功后,您仍可以根据需求,修改云服务器的名称或变更规格。由于规格变更对业务有影响,建议一台成功完成后再对下一台进行规格变更。 CCE节点的部分信息是独立于弹性云服务器ECS维护的,当您在ECS控制台修改云服务器的名称、弹性公网
后sock文件重新挂载,可恢复正常。 45 HTTPS类型负载均衡证书一致性检查异常处理 检查HTTPS类型负载均衡所使用的证书,是否在ELB服务侧被修改。 46 节点挂载检查异常处理 检查节点上默认挂载目录及软链接是否被手动挂载或修改。 47 节点paas用户登录权限检查异常处理
Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。 T
要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。 服务器证书:当监听器端口启用HTTPS/TLS时,必须选择一个服务器证书。如果当前无
Kubernetes通过kube-proxy服务实现了Service的对外发布及负载均衡,它的各种方式都是基于传输层实现的。在实际的互联网应用场景中,不仅要实现单纯的转发,还有更加细致的策略需求,如果使用真正的负载均衡器更会增加操作的灵活性和转发性能。 基于以上需求,Kubernetes引入
其Pod拥有共同的label。但有一个label值不同,用于区分不同的版本。Service使用selector选中了其中一个版本的Deployment的Pod,此时通过修改Service的selector中决定服务版本的label的值来改变Service后端对应的Pod,即可实现
监听器证书配置及更新说明 当前支持在集群中使用以下方式配置Ingress证书: 使用TLS类型的密钥证书:由Secret承载证书内容,证书内容在CCE侧维护,并自动在ELB侧进行证书的创建、更新或删除。配置在Ingress的spec.tls字段下。 使用ELB服务中的证书:直接使
用户访问集群API Server的方式有哪些? 当前CCE提供两种访问集群API Server的方式: 集群API方式:(推荐)集群API需要使用证书认证访问。直接连接集群API Server,适合大规模调用。 API网关方式:API网关采用token方式认证,需要使用账号信息获
一般情况下,建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络时延,提高访问速度。 不过,在基础设施、BGP网络品质、资源的操作与配置等方面,中国大陆各个区域间区别不大,如果您或者您的目标用户在中国大陆,可以不用考虑不同区域造成的网络时延问题。 在除中国大陆以外的亚太地区有业务的用户,可以选择“中国
性。 更轻松的迁移 由于Docker确保了执行环境的一致性,使得应用的迁移更加容易。Docker可以在很多平台上运行,无论是物理机、虚拟机,其运行结果是一致的。因此可以很轻易地将在一个平台上运行的应用,迁移到另一个平台上,而不用担心运行环境的变化导致应用无法正常运行的情况。 更轻松的维护和扩展
Server调用Kubernetes API 通过Kubernetes集群的API Server可以调用Kubernetes原生API。 获取集群证书及API Server。 方式一:通过获取集群证书API获取,将返回的信息保存至kubeconfig.json文件中,并提取证书、私钥和API Server信息,命令如下。
若恶意用户可以创建一个带有子路径卷挂载的容器,则可以访问卷外的文件和目录,包括主机文件系统上的文件和目录。 集群管理员已限制创建 hostPath 挂载的能力的集群受到的影响最严重。利用该漏洞可以在不使用 hostPath 功能的情况下进行类似 hostPath 的访问,从而绕过限制。
Ingress配置HTTPS协议的后端服务和为ELB Ingress配置GRPC协议的后端服务。 表5 对接HTTPS协议的后端服务注解 参数 类型 描述 支持的集群版本 kubernetes.io/elb.pool-protocol String 对接HTTPS协议的后端服务,取值为'https'。
安全加固 集群节点如何不暴露到公网? 如何配置集群的访问策略 如何获取TLS密钥证书? 如何批量修改集群node节点安全组? 父主题: 网络管理
个独立的集群访问凭证(kubeconfig或X509证书),该凭证包含了用户身份及授权信息,以便其可以连接到相应的集群并执行授权范围内的操作。这种方式可以确保不同用户之间的隔离和安全性,同时也方便了管理和授权。但该凭证的有效时间一般为固定值,当持有该凭证的员工离职或已授权的凭证疑
仓库(Repository):仓库是用于存放共享模板包的地方,您可以从仓库中下载模板包至本地安装,也可以选择直接在线安装。 实例(Release):实例是Helm在Kubernetes集群中安装模板包后的运行结果。一个模板包通常可以在一个集群中安装多次,每次安装都会创建一个新的实例。以MySQL模板包为例,
节点关闭缩容保护 功能介绍 该API用于节点关闭缩容保护,关闭缩容保护的节点可以通过修改节点池个数的方式被缩容,只允许按需节点关闭缩容保护。 调用方法 请参见如何调用API。 URI POST /api/v3/projects/{project_id}/clusters/{clu
CVE-2020-13401 中 2020-06-01 漏洞影响 对操作系统中启用了IPv6并且容器网络的CNI Plugins小于V0.8.6版本的节点有影响。 恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录,实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络
Pull第三方镜像仓库的镜像时,需设置为创建的secret名称。 kubectl创建工作负载拉取第三方镜像时,需指定的imagePullSecret字段,name表示pull镜像时的secret名称,创建密钥的方法请参见使用kubectl创建第三方镜像仓库的密钥。 排查项二:填写的镜像地址错误(使用第三方镜像时)
使用kubectl部署带文件存储卷的无状态工作负载 操作场景 文件存储卷创建或导入CCE后,可以在工作负载中挂载文件存储卷。 约束与限制 如下配置示例适用于Kubernetes 1.13及以下版本的集群。 操作步骤 请参见通过kubectl连接集群,使用kubectl连接集群。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
