检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权限相关 如何配置UCS控制台各功能的访问权限? IAM用户登录UCS无法获取集群或舰队怎么办? 误删除或修改ucs_admin_trust委托后如何恢复? 舰队或集群关联权限异常怎么办? 集群注销后如何清理权限相关资源? 如何精细化管理集群联邦权限?
自定义资源 自定义资源(Custom Resource Definitions, CRD)允许用户创建一个与Deployment、Service类似的定制资源对象,用户可以通过kubectl命令来创建和访问这种自定义资源,为用户提供模块化的Kubernetes扩展,详情请参考使用
舰队”。 在目标舰队栏中,单击右上角的按钮。 图4 为舰队关联权限 在弹出的页面单击“修改容器舰队权限”或“关联权限”,打开修改权限页面,将已创建好的权限和舰队的命名空间关联起来。 图5 修改权限 命名空间:支持“全部命名空间”和“指定命名空间”。全部命名空间包括当前舰队已有的命
“<”和“>”。 修改安全组 修改本端集群节点的安全组,在入方向规则中允许对端集群节点访问本端集群容器端口。 如图6所示,“协议端口”填写本端集群容器端口,“源地址”填写对端集群节点IP地址或网段。修改安全组的具体操作请参见更改集群节点的默认安全组。 图6 修改安全组 验证集群间网络互通
istio.io/rev: default service.istio.io/canonical-name: istio-ingressgateway service.istio.io/canonical-revision: latest
SOA类型的记录集标识了对此域名具有最终解释权的主权威服务器。 NS类型的记录集标识了此域名的权威服务器。 您可以根据域名所在区域修改NS记录集的值,详细内容请参考华为云DNS对用户提供域名服务的DNS是什么?。 步骤二:更改域名的DNS服务器 域名的DNS服务器定义了域名用于解析的权威DNS服务器。 当通过云解析服
oup版本为cgroup2fs,该问题根因为当前kubernetes版本cgroup v2暂未GA,需要进行cgroup降级。 操作步骤 修改“/etc/default/grub”文件的GRUB_CMDLINE_LINUX配置项,添加systemd.unified_cgroup_
舰队”。 在目标舰队栏中,单击右上角的按钮。 图3 为舰队关联权限 在弹出的页面单击“修改容器舰队权限”或“关联权限”,打开修改权限页面,将已创建好的权限和舰队的命名空间关联起来。 图4 修改权限 命名空间:支持“全部命名空间”和“指定命名空间”。全部命名空间包括当前舰队已有的命
需设置采集目录为完整的数据目录。例如/var/log/service目录是数据卷挂载的路径,则设置采集目录为/var/log或/var/log/*将采集不到该目录下的日志,需设置采集目录为/var/log/service。 日志格式 单行文本 每条日志仅包含一行文本,以换行符 \n
使用该功能时会覆盖原volcano-scheduler-configmap中内容,所以升级时务必检查是否在volcano-scheduler-configmap做过修改。如果是,需要把修改内容同步到升级界面里。 Prometheus指标采集 volcano-scheduler通过端口8080暴露Prometheus
k8sexternalips 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数: allowedIPs:字符串数组 作用 限制服务externalIP仅为允许的IP地址列表。 策略实例示例 服务的externalIP仅允许allowedIPs中定义的IP。
UCS服务的正常使用场景不受此漏洞影响,仅当攻击者具备以下条件之一时,可利用该漏洞: 攻击者具有集群工作负载的创建或更新权限。 集群中工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限。 漏洞影响 满足上述漏洞利用条件时,容器进程可能逃逸到节点,导致节点信息泄露或执行恶意命令。 典型漏洞利用场景 攻击者具有集群
参数 参数类型 描述 kind String API类型,固定值"ClusterGroup",该值不可修改。 apiVersion String API版本,固定值“v1”,该值不可修改。 metadata ObjectMeta object 舰队的基本信息,为集合类的元素类型,包含一组由不同名称定义的属性。
登录UCS控制台,在左侧导航栏中选择“容器舰队”。 选择“未加入舰队的集群”页签,在目标集群栏中单击右上角的按钮。 图1 集群列表 在弹出的页面单击“关联权限”,打开“修改权限”页面,将已创建好的权限和集群的命名空间关联起来。 命名空间:支持“全部命名空间”和“指定命名空间”。全部命名空间包括当前集群已有的命
中要同步的配置集合在结构设置上的顶层路径),单击“下一步:信息确认”; 确认配置信息无误后,单击“创建配置集合”;如有问题,单击上一步进行修改。 创建新仓库源 单击“创建新仓库源”输入仓库源名称、仓库源URL地址。 输入需要与其同步的代码库分支。 选择数据源验证,以及输入密钥。
是否必选 参数类型 描述 kind 是 String API类型,固定值“Cluster”,该值不可修改。 apiVersion 是 String API版本,固定值“v1”,该值不可修改。 metadata 否 ObjectMeta object 集群的基本信息,为集合类的元素类型,包含一组由不同名称定义的属性。
单击服务网格名称,进入服务网格详情页。 在左侧导航栏,单击“流量治理 > 服务路由”,进入服务路由列表页面。 单击列表右侧操作列下的“YAML编辑”。 根据实际需求,例如修改URI更新服务路由,YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService
k8scontainerratios 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数: ratio:字符串 cpuRatio:字符串 exemptImages:字符串数组 作用 限制服务externalIP仅为允许的IP地址列表。 策略实例示例 服务
升级示例 Deployment的升级可以是声明式的,也就是说只需要修改Deployment的YAML定义即可,比如使用kubectl edit命令将上面Deployment中的镜像修改为nginx:alpine。修改完成后再查询ReplicaSet和Pod,发现创建了一个新的ReplicaSet,Pod也重新创建了。
策略实例分发成功后可在集群中执行符合策略实例的动作,此时该动作可正常执行;若在集群中执行不符合策略实例的动作,该动作将被拒绝掉或者上报告警事件。 修改/删除策略实例 作为平台工程师,您通常需要定期审视和更新策略实例,或者删除一些不再使用的策略实例。要执行这些操作,请参考以下步骤: 登录U