检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CVE-2020-8559的漏洞公告 华为云CCI团队已经于7月22日识别Kubernetes 安全漏洞CVE-2020-8559并对其进行了详细分析,分析结论为:用户与CCI服务均不受本次漏洞的影响,无需进行处理。 漏洞详情 近日Kubernetes官方披露了kube-apiserver组件的安全漏洞CVE-2020-8559,CVSS
通过阅读本章节用户可以了解: 如何为弹性CCI的pod配置默认使用的指定dns服务器。 CCE集群pod与CCI集群中pod通过service互通的使用指导。 弹性CCI侧pod通过service发布。 约束与限制 使用共享VPC的CCE集群不支持开启“网络互通”功能。 使用CCE集群中的Bursting插件对接CCI
云容器实例同时具备容器级别的启动速度和虚拟机级别的安全隔离能力,提供更好的容器体验。 原生支持Kata Container 基于Kata的内核虚拟化技术,为您提供全面的安全隔离与防护 自有硬件虚拟化加速技术,让您获得更高性能的安全容器 图1 通过Kata容器实现多租户容器强隔离 SSL SSL(安全套接层,Secure
Spec中,只需在容器启动时以环境变量等方式加载到容器中。 Secret与ConfigMap非常像,都是key-value键值对形式,使用方式也相同,不同的是Secret会加密存储,所以适用于存储敏感信息。 Base64编码 Secret与ConfigMap相同,是以键值对形式保存数据,所不同的
分。此时该字段字符校验规则与容器镜像名的规则一致,且不能以"/"字符结尾。该字段也可为空。 replaceWith 待替换字符串。该字段字符校验规则与容器镜像名的规则一致,且不能以"/"字符结尾。该值不能与repositoryPrefix相同。 匹配与替换规则 替换策略可配置多条
CCI权限说明 CCI当前认证鉴权是在Kubernetes的角色访问控制(RBAC)与统一身份认证服务(IAM)的能力基础上,提供的基于IAM的细粒度权限控制和IAM Token认证,同时支持命名空间级别及命名空间以下资源的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。
et.ipv4.conf.all.route_localnet=1参数。 CCI的集群形态与普通kubernetes集群不同。CCI基于安全容器并与华为云网络服务深度整合,用户VPC网络与CCI物理主机网络不在同一个2层域中。CCI服务侧没有信息泄漏风险。 用户容器内核默认没有开启net
密存储的资源对象,您可以将认证信息、证书、私钥等保存在密钥中,在容器启动时以环境变量加载到容器中,或以文件方式挂载到容器中。 Secret与SSL证书共用同一个配额。 建议用户对上传的Secret进行加密处理。 创建Secret 登录云容器实例控制台,单击左侧导航栏的“配置中心 >
容器实例以外的资源,如ECS等)且与负载在同一个VPC内互相访问,另外在同一个VPC不同命名空间的负载也可以选择此种方式。通过内网域名或ELB的“IP:Port”为内网提供服务,支持HTTP/HTTPS和TCP/UDP协议。如果是云服务内部且与负载不在同一个VPC内,也可以选择创
公网访问 概述 公网访问是指使用外部网络访问负载,您可以给负载绑定共享型ELB实例(ELB必须与负载在同一个VPC内),通过ELB实例访问负载,当前外部访问支持四层和七层负载公网访问。 四层公网访问支持TCP和UDP两种协议,设置完成后可以通过“elb公网ip:elb端口”访问负载。
0存储卷适用于多种工作负载场景,包括媒体处理、内容管理、大数据分析和分析工作负载程序等场景。 SFS 1.0容量型文件存储即将下线,请谨慎使用。SFS 3.0与SFS 1.0文件系统规格差异小,可以使用SFS 3.0平滑替换SFS 1.0文件系统。 支持的区域 各区域支持的文件存储卷类型,如下表所示:
(云容器实例以外的资源,如ECS等)且与负载在同一个VPC内互相访问,另外在同一个VPC不同命名空间的负载也可以选择此种方式。通过内网域名或ELB的“IP:Port”为内网提供服务,支持HTTP/HTTPS和TCP/UDP协议。如果是内网且与负载不在同一个VPC内,也可以选择创建
图2 使用SSL证书 负载创建完成后,云容器实例将会在ELB中创建与负载名字相同证书。云容器实例服务创建以“beethoveen-cci-ingress”开头名称的证书,请勿删除或更新该类证书,否则引起访问异常。 更新与删除SSL证书 在证书过期前可以更新相应的证书,使用该证书的负载会同步更新。
适用于AI等高性能场景。 Namespace下必须要创建一个Network,用于定义kubernetes中一个namespace内的网络与华为云虚拟私有云服务的子网和vpc的映射关系,具体请参见Namespace和Network。 调用方法 请参见如何调用API。 URI POST
委托联邦用户管理资源 如果您需要将账号A的资源委托给账号B的联邦用户进行管理。首先您可以登录账号A,为账号B创建委托并授予命名空间权限。接下来登录账号B,与账号B做联邦身份认证,认证完成后,账号B将委托权限分配给联邦用户,使得联邦用户可以切换为账号A的委托。最后以联邦用户的身份登录到华为云,切换角色之后,就可以管理账号A中的资源。
的基本功能,创建和使用方式等。 约束与限制 单个镜像快照最多包含20个镜像。 支持私有镜像仓库,但需要提供私有镜像仓库的访问凭证,包括地址、用户名和密码。 如果镜像需要通过公网拉取,则需要事先配置NAT网关服务。 如果镜像快照中只有部分镜像与Pod中镜像相符,则不相符的镜像仍需通过下载拉取。
CI的pod。 约束与限制 metrics-server无法采集到通过bursting插件弹性到CCI 2.0上的Pod的监控数据,可能会影响HPA工作。如果HPA无法正常工作,请参考弹性伸缩进行处理。 从CCE bursting弹到CCI 2.0的pod,与从CCI 2.0前端
安全 责任共担 身份认证与访问控制 数据保护技术 审计与日志 监控安全风险
使用前必读 概述 调用说明 终端节点 约束与限制 基本概念 API版本选择建议
过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):私有访问密钥。与访问密钥ID结合使用,对请求进行加密签名,可标识发送方,并防止请求被修改。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
