检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
此处创建的ELB需要与负载所在命名空间在同一个VPC内。 CCI暂时不支持独享型负载均衡,建议您创建共享型ELB实例。 负载端口配置 协议:访问负载的通信协议,可选择TCP或UDP。 访问端口:负载提供的访问端口,即为服务端口,可自定义。 容器端口:容器监听的端口,负载访问端口映射
CVE-2020-8559的漏洞公告 华为云CCI团队已经于7月22日识别Kubernetes 安全漏洞CVE-2020-8559并对其进行了详细分析,分析结论为:用户与CCI服务均不受本次漏洞的影响,无需进行处理。 漏洞详情 近日Kubernetes官方披露了kube-apis
漏洞源于kubelet的驱逐管理器(eviction manager)中没有包含对Pod中挂载的/etc/hosts文件的临时存储占用量管理,因此在特定的攻击场景下,一个挂载了/etc/hosts的Pod可以通过对该文件的大量数据写入占满节点的存储空间,从而造成节点的拒绝访问(Denial
CVE-2020-13401的漏洞公告 华为云CCI团队已经于7月22日识别 Kubernetes 安全漏洞CVE-2020-13401并对其进行了详细分析,分析结论为:用户与CCI服务均不受本次漏洞的影响,无需进行处理。 漏洞详情 Kubernetes官方发布安全漏洞CVE-2020-13401,CVSS
应用场景 如果您了解容器引擎的使用,明白定制镜像时,一般使用Dockerfile来完成。Dockerfile是一个文本文件,其内包含了一条条的指令,每一条指令构建镜像的其中一层,因此每一条指令的内容,就是描述该层应该如何构建。 本章节将介绍Dockerfile文件的一些配置如何对应到云容器实例中去使用。
根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将CCI资源委托给更专业、高效的其他云账号或者云服务,这些账号或者云服务可以根据权限进行代运维。 如果云账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CCI服务的其它功能。 本
云容器实例支持使用HTTPS访问负载,在创建负载时,您可以使用自己的SSL证书。 SSL证书分为权威证书和自签名证书。权威证书由权威的数字证书认证机构签发,您可向第三方证书代理商购买,使用权威证书的Web网站,默认客户端都是信任的。自签名证书是由用户自己颁发给自己的,一般可以使用open
无(使用http) 以上参数的值为tls的证书、私钥、CA文件所在存储卷的“卷名”和“路径”。 获取资源监控指标 配置完上述监控属性后,在能访问Pod IP的VPC内,通过执行如下命令获取Pod的监控数据。 curl $podIP:$port/metrics 其中<podIP>为Pod的IP地址,<port>为监听端口,例如curl
选择已有命名空间或单击“创建命名空间”按钮,创建新的命名空间。 如果您要缓存的镜像包含私有镜像仓库,请确保命名空间绑定的vpc与私有镜像仓库网络互通。如需缓存公网镜像,需要命名空间绑定的vpc配置SNAT规则,参考从容器访问公网。 镜像仓库访问凭证 如果您容器里选择的镜像是私有的,请输入所选镜像的仓库地址、用户名
单位 cpuUsage CPU使用率 该指标用于统计测量对象的CPU使用率。服务实际使用的与限制的CPU核数量比率。 0~100% 百分比(Percent) cpuCoreLimit CPU内核总量 该指标用于统计测量对象限制的CPU核总量。 ≥1 核(Core) cpuCoreUsed
数据保护技术 云容器实例同时具备容器级别的启动速度和虚拟机级别的安全隔离能力,提供更好的容器体验。 原生支持Kata Container 基于Kata的内核虚拟化技术,为您提供全面的安全隔离与防护 自有硬件虚拟化加速技术,让您获得更高性能的安全容器 图1 通过Kata容器实现多租户容器强隔离
获取AK/SK AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):与访问密钥ID结合使用的密钥,对请求进行加密签名,可标识发送方,并防止请求被修改。
支持细粒度RBAC权限控制 在Kubernetes的角色访问控制(RBAC)与统一身份认证服务(IAM)的能力基础上,提供的基于IAM的细粒度权限控制和IAM Token认证,同时支持命名空间级别及命名空间以下资源的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 商用 权限管理
如果不挂载云存储的话,容器运行产生的数据存储在哪里? 如果没有挂载EVS等磁盘,应用数据存储在容器的物理机磁盘,每个Pod存储空间限制为CPU物理机磁盘为20G,GPU物理机磁盘为20G,如果为专属节点可根据客户需求进行调整。 为了确保数据的安全性,在创建容器时容器引擎会从dev
12MB以上的请求请使用Token认证。 AK/SK认证就是使用AK/SK对请求进行签名,在请求时将签名信息添加到消息头,从而通过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。
事件二:重新启动容器失败 负载网络访问 云容器实例通过将Kubernetes网络和华为云VPC深度集成,提供了稳定高性能的容器网络,能够满足多种复杂场景下工作负载间的互相访问。 负载访问可以分为如下几种场景:内网访问、公网访问、从容器访问公网。 支持区域:全部 网络访问概述 内网访问 公网访问 从容器访问公网
安全容器这个概念主要与普通容器进行比较的。 和普通容器相比,它最主要的区别是每个容器(准确地说是pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。因为云容器实例采用的是共享多租集群,因此容器的安全隔离比用户独立拥有私有Kubernetes集群有更严格的要求。通过安全
中心。对标准输出打印较大的日志量可能会由于转发限流导致业务性能受损。 原因二:用户业务容器内存在对rootfs磁盘的高IO读写的场景。 详情说明:CCI服务会对rootfs的盘进行IO限流,如果业务进程运行中会执行较高的磁盘IO(带宽>6MB/s,iops>1000)或者对磁盘I
是一种简洁强大的语言,它的设计目标是便于设计和使用人员阅读。 基本语法规则 大小写敏感。 使用缩进表示层级关系。 缩进时不允许使用Tab键,只允许使用空格。 缩进的空格数目不重要,要求相同层级的元素左侧对齐。 使用#表示注释。 YAML支持三种数据结构 对象:键值对的集合,又称为映射(mapping)/
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
