检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
VPC网络与CCI物理主机网络不在同一个2层域中。CCI服务侧没有信息泄漏风险。 用户容器内核默认没有开启net.ipv4.conf.all.route_localnet=1参数,用户绑定在localhost的进程无法进行同VPC内跨节点访问。用户侧没有信息泄漏风险。 父主题: 漏洞修复公告
Container服务,拥有多个异构的Kubernetes集群,并集成网络、存储服务,让您方便的通过控制台、kubectl、Kubernetes API创建和使用容器负载。 图2 产品架构 基于云平台底层网络和存储服务(VPC、ELB、NAT、EVS、OBS、SFS等),提供丰富的网络和存储功能。 提供高性能、异构的
来的消耗。 约束与限制 仅支持VPC网络模式的CCE Standard集群和CCE Turbo集群,暂不支持Arm集群。如果集群中包含Arm节点,插件实例将不会部署至Arm节点。 暂不支持守护进程集(DaemonSet)以及HostNetwork网络模式的容器实例(Pod)弹性到CCI。
来的消耗。 约束与限制 仅支持VPC网络模式的CCE Standard集群和CCE Turbo集群,暂不支持Arm集群。如果集群中包含Arm节点,插件实例将不会部署至Arm节点。 暂不支持守护进程集(DaemonSet)以及HostNetwork网络模式的容器实例(Pod)弹性到CCI。
命名空间与网络的关系 从网络角度,命名空间对应一个虚拟私有云(VPC)中一个子网,如图1所示,在创建命名空间时会关联已有VPC或创建一个新的VPC,并在VPC下创建一个子网。后续在该命名空间下创建的容器及其他资源都会在对应的VPC及子网之内。 通常情况下,如果您在同一个VPC下还会使
负载网络访问 网络访问概述 内网访问 公网访问 从容器访问公网
ReadOnlyAccess策略主要权限 操作(Action) 说明 cci:*:get CCI(云容器实例)所有资源详情的查看权限 cci:*:list CCI(云容器实例)所有资源列表的查看权限 vpc:*:get VPC(虚拟私有云)所有资源详情的查看权限 vpc:*:list VPC(虚拟私有云)所有资源列表的查看权限
etes资源对象,用于关联VPC及子网,从而使得容器实例能够使用公有云的网络资源。 Namespace与网络的关系 从网络角度看,命名空间对应一个虚拟私有云(VPC)中一个子网,如图1所示,在创建命名空间时会关联已有VPC或创建一个新的VPC,并在VPC下创建一个子网。后续在该命
授权范围,才能使主体获得相应的权限。 另一类是基于ABAC的新模型,称为策略授权。管理员可根据业务需求定制不同的访问控制策略,将策略附加主体或为主体授予该策略即可获得相应权限,能够做到更细粒度更灵活的权限控制。授权后,主体就可以基于已有权限对云服务进行操作。 两者有如下的区别和关系:
etes资源对象,用于关联VPC及子网,从而使得容器实例能够使用公有云的网络资源。 Namespace与网络的关系 从网络角度看,命名空间对应一个虚拟私有云(VPC)中一个子网,如图1所示,在创建命名空间时会关联已有VPC或创建一个新的VPC,并在VPC下创建一个子网。后续在该命
25核-32核,或者自定义选择48核、64核。 支持的容器操作系统类型 仅支持Linux容器。 CCI实例的网络类型 仅支持VPC网络。 Kubernetes应用限制 基于华为云的安全性带来的限制,CCI目前还不支持Kubernetes中HostPath、DaemonSet等功能,具体如下表所示。
versions prior to v1.16.0 漏洞分析结果 CCI服务不受本次漏洞影响,原因如下: CCI当前集群基于Kubernetes 1.15版本,容器网络基于用户VPC,任何用户无法访问节点,也无法拦截kubelet请求。因此节点没有被攻击的风险。 父主题: 漏洞修复公告
上一节中讲了创建LoadBalancer类型的Service,使用ELB实例从外部访问Pod。 但是Service是基于四层TCP和UDP协议转发的,Ingress可以基于七层的HTTP和HTTPS协议转发,可以通过域名和路径做到更细粒度的划分,如下图所示。 图1 Ingress-Service
使用Service和Ingress管理网络访问 Service Ingress 网络访问场景 业务探针(Readiness probe)
创建时将会自动从EIPPool中获取一个可用的EIP并绑定至Pod。 已经被EIPPool使用的EIP,在VPC界面是无法正常的执行绑定、解绑和删除操作的,因此不建议在VPC界面直接操作已被EIPPool使用的EIP。 以创建的eippool-demo1为例。 apiVersion:
"state": "Active" } } 进入网络控制台,根据上述操作中已获取的安全组ID,查找对应的安全组。 单击安全组名称,在安全组的入方向规则中增加如下规则。 UDP类型的公网访问,健康检查依赖ICMP规则,请注意添加。 父主题: 网络管理类
需要以特权模式(--privileged=true)来启动容器是否支持? 目前,CCI尚不支持特权模式。 特权容器主要场景是让容器共享、操作宿主机的设备,CCI是基于kata的hypervisor虚拟化级别隔离,所以宿主机的资源对容器完全隔离。 其他场景,推荐通过k8s原生Sec
景。 使用限制 待挂载的极速文件存储必须是按需付费。更多信息,请参见极速文件存储计费。 使用极速文件存储期间,不能修改极速文件存储关联的VPC配置信息,否则CCI中容器无法访问极速文件存储。 请谨慎执行极速文件存储的删除操作,以避免造成CCI中容器不可用。 导入极速文件存储 云容器实例支持导入已有的极速文件存储。
选择使用已有VPC或新建VPC,新建VPC需要填写VPC网段,建议使用网段:10.0.0.0/8~24,172.16.0.0/12~24,192.168.0.0/16~24。 设置子网网段。 您需要关注子网的可用IP数,确保有足够数量的可用IP,如果没有可用IP,则会导致负载创建失败。 单击“创建”。
如何从容器访问公网? 您可以使用公有云平台提供的NAT网关服务。该服务能够为虚拟私有云内的容器提供网络地址转换(Network Address Translation)服务,使虚拟私有云内的容器可以共享使用弹性公网IP访问Internet。通过NAT网关的SNAT功能,可以直接访
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
