检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
群自动创建的默认安全组规则放通指定端口,以保证集群中的正常网络通信。 不同网络模型的默认安全组规则如下: VPC网络模型安全组规则 容器隧道网络模型安全组规则 云原生网络2.0(CCE Turbo集群)安全组规则 安全组规则的修改和删除可能会影响集群的正常运行,请谨慎操作。如需修
安全 安全配置概述 CCE集群安全配置建议 CCE节点安全配置建议 CCE容器运行时的安全配置建议 在CCE集群中使用容器的安全配置建议 在CCE集群中使用镜像服务的安全配置建议 在CCE集群中使用密钥Secret的安全配置建议 在CCE集群中使用工作负载Identity的安全配置建议
安全运行时与普通运行时 相比于普通运行时,安全运行时可以让您的每个容器(准确地说是Pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。通过使用安全运行时,不同容器之间的内核、计算资源、网络都是隔离开的,保护了Pod的资源和数据不被其他Pod抢占和窃取。
安全加固 集群节点如何不暴露到公网? 如何配置集群的访问策略 如何获取TLS密钥证书? 如何批量修改集群node节点安全组? 父主题: 网络管理
-rf /root/.kube 加固VPC安全组规则 CCE作为通用的容器平台,安全组规则的设置适用于通用场景。用户可根据安全需求,通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。 详情请参见如何加固CCE集群的自动创建的安全组规则? 节点应按需进行加固 CCE服务
实施步骤 集群外资源迁移 迁移工具安装 集群内资源迁移(Velero) 资源更新适配 其余工作 异常排查及解决 父主题: 将K8s集群迁移到CCE
和Restic工作负载的修改内容一致,如下所示。 resources: limits: cpu: "1" memory: 1Gi requests: cpu: 500m memory: 1Gi 父主题: 实施步骤
CCE集群安全配置建议 从安全的角度,建议您对集群做如下配置。 使用最新版本的CCE集群 Kubernetes社区一般4个月左右发布一个大版本,CCE的版本发布频率跟随社区版本发布节奏,在社区发布Kubernetes版本后3个月左右同步发布新的CCE版本,例如Kubernetes
Pod安全配置 PodSecurityPolicy配置 Pod Security Admission配置 父主题: 工作负载
监控安全风险 结合应用运维管理AOM服务,CCE提供基于Kubernetes原生类型的容器监控能力,可实时监控应用及资源,采集各项指标及事件等数据以分析应用健康状态,提供全面、清晰、多维度数据可视化能力。此外,您还可以根据自己的需求,采集和监控工作负载的自定义指标,实现个性化的监控策略。
持续集成及持续部署 在本方案中,需要在通过 code push 事件中触发 Jenkins 进行编译打包,通过邮件审批之后,将应用部署到 Kubernetes 集群中。 安装Jenkins插件 除了前文安装 Jenkins 时默认安装的插件外,还需要安装 GitLab Plugin,Kubernetes
在CCE侧获取集群Service Account Token的签名公钥,操作步骤请参见步骤一:获取CCE集群的签名公钥。 在IAM创建身份提供商,操作步骤请参见步骤二:配置身份提供商。 在工作负载中获取IAM Token模拟IAM用户访问云服务,操作步骤请参见步骤三:使用工作负载Identity。 主要流程如下:
实施步骤 搭建Jenkins和Gitlab环境 配置集群环境 配置Gitlab项目 持续集成及持续部署 父主题: 使用Jenkins和Gitlab实现多集群隔离的DevOps流程
实施步骤 Jenkins Master安装部署 Jenkins Agent配置 使用Jenkins构建流水线 参考:Jenkins对接Kubernetes集群的RBAC 父主题: 在CCE中安装部署Jenkins
针对诊断结果,智能给出健康评分 支持定时巡检,并可视化巡检结果 支持查看巡检历史,方便用户分析故障原因 针对故障和潜在风险,给出风险等级并提供修复建议 使用场景 运维对集群做变更前的集群状况检测,可随时主动触发健康诊断 支持运维的定时巡检,可设置定时执行时间,定期检查集群风险 集
实施步骤 整体应用容器化改造 改造流程 分析应用 准备应用运行环境 编写开机运行脚本 编写Dockerfile文件 制作并上传镜像 创建容器工作负载 父主题: 企业管理应用容器化改造(ERP)
安全 责任共担 数据保护技术 审计与日志 监控安全风险 认证证书
v1.17.17版本的集群默认启用Pod安全策略准入控制组件,并创建名为psp-global的全局默认安全策略,您可根据自身业务需要修改全局策略(请勿直接删除默认策略),也可新建自己的Pod安全策略并绑定RBAC配置。 除全局默认安全策略外,系统为kube-system命名空间
使用容器网络配置为命名空间/工作负载绑定子网及安全组 操作场景 CCE Turbo集群支持以命名空间或工作负载粒度设置容器所在的容器子网及安全组,该功能通过名为NetworkAttachmentDefinition的CRD资源实现。如您想为指定的命名空间或工作负载配置指定的容器子网和安全组,可创建自定义容
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书