检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
虚拟私有云 VPC”,在网络控制台单击“访问控制 > 安全组”。 在界面右侧的安全组列表中找到集群的ENI安全组,名称规则默认是{集群名}-cce-eni-{随机ID}。 如果集群中绑定了自定义的容器安全组,请根据实际进行选择。 单击安全组名称,在打开的页面中单击“入方向规则”页签,单
如何正确配置集群安全组规则? Autopilot集群在创建时将会自动创建两个安全组,其中Master节点的安全组名称是:{集群名}-cce-control-{随机ID};ENI的安全组的名称是:{集群名}-cce-eni-{随机ID}。 用户可根据安全需求,登录CCE控制台,单击服务列表中的“网络
遍。 常见的业务确认方式有: 业务界面可用 监控平台无异常告警与事件 关键应用进程无错误日志 API拨测正常等 解决方案 若集群升级后您的在线业务有异常,请联系技术支持人员。 父主题: 升级后验证
Kubernetes安全漏洞公告(CVE-2024-10220) Kubernetes社区近日公布了一个安全漏洞(CVE-2024-10220),该漏洞使得具有创建Pod权限的攻击者能够通过部署配置了gitRepo卷的Pod来执行容器外的任意命令。攻击者可以利用目标Git仓库中的
securityGroups 否 String 需要配置的安全组ID,最多关联5条安全组。如果没有对安全组进行规划,请和default-network中的安全组保持一致。 获取方式: 登录虚拟私有云控制台,在左侧导航栏选择“访问控制 > 安全组”,单击安全组名称,在“基本信息”页签下找到“ID”字段复制即可。
如果需要为命名空间或工作负载设置不同的容器子网或安全组,您可以创建一条策略,将容器子网/安全组与命名空间或工作负载进行绑定,详情请参见使用容器网络配置为命名空间/工作负载绑定子网及安全组。 容器绑定子网:Pod IP会被约束在特定的网段中,不同命名空间或工作负载之间可实现网络隔离。 容器绑定安全组:支持为同一命
cce-hpa-controller插件限制检查异常处理 检查项内容 检查cce-controller-hpa插件的目标版本是否存在兼容性限制。 解决方案 检测到目标cce-controller-hpa插件版本存在兼容性限制,需要集群安装能提供metrics api的插件,例如metrics-server;
ob)使用,主要面向大数据分析、静态网站托管、在线视频点播、基因测序、智能视频监控、备份归档、企业云盘(网盘)等场景。 对象存储规格 对象存储提供了多种存储类别,从而满足客户业务对存储性能、成本的不同诉求。 对象桶:提供高可靠、高性能、高安全、低成本的数据存储能力,无文件数量限制、容量限制。
使用本地文件目录一样。 数据共享:多台服务器可挂载相同的文件系统,数据可以共享操作和访问。 私有网络:数据访问必须在数据中心内部网络中。 安全隔离:直接使用云上现有IaaS服务构建独享的云文件存储,为租户提供数据隔离保护和IOPS性能保障。 应用场景:适用于多读多写(ReadWr
AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 To
HPC高性能计算、媒体处理、内容管理和Web服务、大数据和分析应用程序等。 说明: 高性能计算:主要是高带宽的需求,用于共享文件存储,比如基因测序、图片渲染等。 高性能网站、日志存储、DevOps、企业办公等。 大数据分析、静态网站托管、在线视频点播、基因测序、智能视频监控、备份归档、企业云盘(网盘)等。
经不满足于CPU和Memory,开发者需要应用自身的业务指标,或者是一些接入层的监控信息,例如:Load Balancer的QPS、网站的实时在线人数等。社区经过思考之后,定义了一套标准的Metrics API,通过聚合API对外提供服务。 metrics.k8s.io: 主要提
经过优化的Kubernetes兼容能力。在创建CCE Autopilot集群后,您无需购买节点即可部署应用,同时也无需对节点的部署、管理和安全性进行维护,只需要关注应用业务逻辑的实现,可以大幅降低您的运维成本,提高应用程序的可靠性和可扩展性。 立即创建 图说ECS 免费试用 通用型S7云服务器2核4G,为期1个月
为了保障您的服务权益,请您务必在维护周期结束之前升级您的Kubernetes集群,主动升级集群有以下好处: 降低安全和稳定性风险:Kubernetes版本迭代过程中,会不断修复发现的安全及稳定性漏洞,长久使用EOS版本集群会给业务带来安全和稳定性风险。 支持新功能和新操作系统:Kubernetes版本的迭代过程中,会不断带来新的功能、优化。
同物理机系统内核隔离且互不影响。对于资深业务部署场景,内核参数调优是比较通用的方式。在安全范围内,CCE Autopilot服务允许客户根据Kubernetes社区推荐的方案,通过Pod的安全上下文(Security Context)对内核参数进行配置,极大提升用户业务部署的灵活
创建VPC和子网 背景信息 在创建集群之前,您需要创建虚拟私有云(VPC),为CCE服务提供一个安全、隔离的网络环境。 如果用户已有VPC,可重复使用,不需多次创建。 创建VPC 登录管理控制台,选择“网络 > 虚拟私有云 VPC”。 在虚拟私有云控制台,单击右上角的“创建虚拟私有云”,按照提示完成创建。
网络隔离 Pod可直接关联安全组,基于安全组的隔离策略,支持集群内外部统一的安全隔离。 容器隧道网络模式:集群内部网络隔离策略,支持NetworkPolicy。 VPC网络模式:不支持 Pod可直接关联安全组,基于安全组的隔离策略,支持集群内外部统一的安全隔离。
YAML文件差异后提交升级。 编辑YAML 可通过在线YAML编辑窗对无状态工作负载、有状态工作负载、定时任务和容器组的YAML文件进行修改和下载。普通任务的YAML文件仅支持查看、复制和下载。本文以无状态工作负载为例说明如何在线编辑YAML。 登录CCE控制台,进入一个已有的集群,在左侧导航栏中选择“工作负载”。
用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件(kubeconfig),以下场景认证文件传递过程中均存在安全泄露风险,应在实际使用中注意。 场景一 如果某IAM子用户先配置了集群管理权限和命名空间权限,然后在界面下载kubeconfig认证文件。
减少不必要的成本支出。 安全隔离与自动预警 CCE Autopilot集群基于QingTian架构,实现虚拟机级别的安全隔离能力,并通过专属的container OS提供精简且安全的运行环境。其底层统一资源池设计支持快速故障隔离和修复,确保应用的持续安全稳定运行。系统内置的自动预
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
