检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据规划 防火墙规划 防火墙的规划需符合表1中要求。 表1 防火墙规划 源设备 源IP 源端口 目的设备 目的IP 目的端口(侦听) 协议 端口说明 侦听端口是否可更改 认证方式 加密方式 ucsctl执行机 源设备所在节点IP ALL 所有节点 目的设备所在节点IP 22 TCP
当服务提供商发布新版本后,可选择升级服务。升级服务后,该服务已部署的实例也将会被升级。 当实例状态处于变更中或状态异常时,无法进行升级或回退。 升级前请确保环境中所有主机处于正常运行状态,且升级过程中不能出现主机断电、断网等的情况。 升级过程中请不要执行指导步骤之外的其他操作,避免操作冲突导致升级变更失败。 升级过
单击右上角“YAML创建”,弹出对端认证YAML创建界面。 为服务开启双向认证,该服务使用双向认证来接收调用方的访问,只处理TLS通道上加密的请求。 apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication
漏洞名称 CVE-ID 漏洞级别 披露/发现时间 runC漏洞 CVE-2024-21626 高 2024-02-01 漏洞利用条件 UCS服务的正常使用场景不受此漏洞影响,仅当攻击者具备以下条件之一时,可利用该漏洞: 攻击者具有集群工作负载的创建或更新权限。 集群中工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限。
的自定义资源定义(CRD)机制,为每个容器自动创建安全策略,保障容器的安全。 实现容器级别的负载均衡:Cilium支持实现容器级别的负载均衡,允许通过多种负载均衡算法来分配网络请求流量。 提供服务发现功能:Cilium支持借助基于Kubernetes的服务探测机制,自动发现容器内的服务,并将其注册到Kubernetes
“概览”页面,通过切换“Pod列表”、“监控”页签查看相应内容。 查看集群内工作负载列表 工作负载列表中包含工作负载名称、状态、实例个数(正常/全部)、命名空间、镜像名称、CPU使用率,以及内存使用率等信息。 图1 工作负载列表页面 您可以利用页面右上角的命名空间和工作负载类型,
设置资源配额。 所有配额均默认为不限制,如需设置资源配额,请输入大于等于1的整型数值。若手动限制CPU或内存的配额,则创建工作负载时必须指定CPU或内存请求值。 配额累计使用量包含系统默认创建的资源,如default命名空间下系统默认创建的Kubernetes服务(该服务可通过后端kubect
对于附着集群,各集群提供商或本地数据中心对于网络入方向的端口规则有差异,防止特定端口外的入站通信。因此UCS使用集群网络代理的连接方式,如图2所示,无需在防火墙上启用任何入方向端口,仅通过集群代理程序的方式在出方向与UCS服务建立会话。 附着集群接入网络的方法有两种,具有不同的优点: 公网接入:具有弹性灵活、成本低、易接入的优点。
行部署。 部署集群 “集群权重”模式下,需手动设置各集群权重值,权重非0的集群将自动勾选为可调度集群,权重为0则表示该集群不可调度。状态非正常的集群无法设置权重。 “自动均衡”模式下,单击集群即可将其勾选为可调度集群。 设置完成后,单击“创建工作负载”,完成创建后,可单击“返回工作负载列表”查看所创建的工作负载。
本地集群管理流程如图1 本地集群管理流程所示。 图1 本地集群管理流程 接入网络模式 UCS使用集群网络代理的连接方式,如图2 集群接入原理所示。您无需在防火墙上启用任何入方向端口,仅通过集群代理程序的方式即可在出方向与UCS服务建立会话。 本地集群接入网络的方法有两种,具有不同的优点: 公网接入:具有弹性灵活、成本低、易接入的优点。
安装本地集群 前往UCS控制台刷新集群状态,集群处于“运行中”。 单击本地集群名称,进入集群控制台页面,对集群节点、工作负载等资源进行操作,操作正常无报错,即本地集群接入成功。 父主题: 安装本地集群
Metrics Server进行安装。 登录集群节点,准备一个算力密集型的应用。当用户请求时,需要先计算出结果后才返回给用户结果,如下所示。 创建一个名为index.php的PHP文件,文件内容是在用户请求时先循环开方1000000次,然后再返回“OK!”。 vi index.php index
该配置表示路由规则引用whtest命名空间下名为gwtest1的Gateway资源。因为未指定监听器名称,此处会尝试引用该Gateway的所有监听器。对于路径前缀为/的请求,将30%流量路由到同命名空间下的nginx-v1服务的5566端口,将70%流量路由到同命名空间下的nginx-v2服务的5566端口。
解决方案:请查看log-operator日志,安装插件时,其余组件所需的配置文件需要log-operator生成,log-operator生成配置出错,会导致所偶遇组件无法正常启动。 父主题: 日志中心
kubectl -n kube-system logs <Agent Pod Name> | grep "Start serving" 如果正常运行,日志预期输出如下: Start serving 前往UCS控制台刷新集群状态,集群处于“运行中”。 图2 集群运行中状态 后续步骤
当通过云解析服务创建公网域名后,系统默认生成的NS类型记录集的值即为云解析服务的DNS服务器地址。 若域名的DNS服务器设置与NS记录集的值不符,则域名无法正常解析,您需要到域名注册商处将域名的DNS服务器修改为华为云云解析服务的DNS服务器地址。 更改后的DNS服务器地址将于48小时内生效,具体生效时间请以域名注册商处的说明为准。
S、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建
Server中增加华为云的DNS转发器。 配置DNS服务器 配置DNS转发:在DNS服务器配置相应的DNS转发规则,将解析华为云内网域名的请求转发到DNS终端节点。以常见的DNS软件Bind为例:例如/etc/named.conf内,增加DNS转发器的配置,forwarders为DNS终端节点IP地址。
的迁移。 约束与限制 目标集群Kubernetes版本需为1.15及以上,且集群中至少包含一个可用节点。 集群在安装插件时,需要保证集群可正常拉取SWR镜像。 备份/恢复过程中,需尽量保证集群处于稳态,不要触发增、删、改等变更行为,以免出现备份/恢复失败或不完整的情况。若集群发生
集群出现故障后为其添加表2所示的污点,待持续时长超出容忍时长后会自动驱逐该集群上所有Pod。 在驱逐所有故障集群上的Pod后,待该集群恢复正常,UCS不会按照原有调度策略将Pod迁回该集群。若您需要继续执行原调度策略配置,可以对工作负载进行重新调度。 表2 集群异常状态污点 污点键
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
