检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
私有镜像仓库 容器镜像服务提供私有镜像库,并支持细粒度的权限管理,可以为不同用户分配相应的访问权限(读取、编辑、管理)。 镜像加速 容器镜像服务通过华为自主专利的镜像下载加速技术,使CCE集群下载镜像时在确保高并发下能获得更快的下载速度。
使用策略定义库 策略定义库概述 k8spspvolumetypes k8spspallowedusers k8spspselinuxv2 k8spspseccomp k8spspreadonlyrootfilesystem k8spspprocmount k8spspprivilegedcontainer
策略定义库概述 UCS为您提供了预置的策略定义库,通过这个库,您可以创建具体的策略实例,进而将策略实例定义细节的任务委托给具备专业知识的个人或团队。这种做法不仅实现了关注点的隔离,还将策略实例的逻辑与定义进行了分离。
containers: - name: policy-test image: ubuntu command: - /bin/bash - -c - sleep 99999 父主题: 使用策略定义库
container.seccomp.security.alpha.kubernetes.io/nginx: unconfined labels: app: nginx-seccomp spec: containers: - name: nginx image: nginx 父主题: 使用策略定义库
apiVersion: v1 kind: Pod metadata: name: nginx-disallowed spec: containers: - name: nginx image: nginx 父主题: 使用策略定义库
nginx-readonlyrootfilesystem spec: containers: - name: nginx image: nginx securityContext: readOnlyRootFilesystem: false 父主题: 使用策略定义库
volumes: - name: cache-volume hostPath: path: /tmp # directory location on host - name: demo-vol emptyDir: {} 父主题: 使用策略定义库
cache-volume readOnly: true volumes: - name: cache-volume hostPath: path: /tmp # directory location on host 父主题: 使用策略定义库
opa image: openpolicyagent/opa:latest args: - "run" - "--server" - "--addr=localhost:8080" 父主题: 使用策略定义库
rbac.authorization.k8s.io kind: Group name: system:authenticated - apiGroup: rbac.authorization.k8s.io kind: Group name: system:unauthenticated 父主题: 使用策略定义库
image: busybox command: [ "sh", "-c", "sleep 1h" ] volumeMounts: - name: fsgroup-demo-vol mountPath: /data/demo 父主题: 使用策略定义库
apiVersion: v1 kind: Namespace metadata: name: disallowed-namespace 父主题: 使用策略定义库
Service metadata: name: disallowed-service spec: ports: - name: http port: 80 targetPort: 8080 selector: app: foo 父主题: 使用策略定义库
metadata: name: my-service-disallowed spec: type: NodePort ports: - port: 80 targetPort: 80 nodePort: 30007 父主题: 使用策略定义库
securityContext: seLinuxOptions: level: s1:c234,c567 user: sysadm_u role: sysadm_r type: svirt_lxc_net_t 父主题: 使用策略定义库
labels: app: nginx-proc-mount spec: containers: - name: nginx image: nginx securityContext: procMount: Unmasked 父主题: 使用策略定义库
container.apparmor.security.beta.kubernetes.io/nginx: unconfined labels: app: nginx-apparmor spec: containers: - name: nginx image: nginx 父主题: 使用策略定义库
metadata: name: my-service-disallowed spec: type: LoadBalancer ports: - port: 80 targetPort: 80 nodePort: 30007 父主题: 使用策略定义库
rules: - apiGroups: - apps resources: - endpoints verbs: - create - delete - deletecollection - patch - update 父主题: 使用策略定义库
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
