检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
runC漏洞对UCS服务的影响说明(CVE-2024-21626) 漏洞详情 runC是一个基于OCI标准实现的一个轻量级容器运行工具,是Docker、Containerd、Kubernetes等容器软件的核心基础组件。近日,runC社区发布最新版本,修复了一处高危级别的容器逃逸
TLS和HTTPS的流量,使用SNI(Server Name Indication),即客户端在TLS握手阶段建立连接使用的服务Host名做路由选择。 下图中,service1服务对service2服务的访问会自动启用双向认证,对service1服务和service2服务的代码都
Docker的镜像拥有存储镜像信息的相关元数据,如果不设置生命周期命令和参数,容器运行时将运行镜像制作时提供的默认的命令和参数,Docker将这两个字段定义为ENTRYPOINT和 CMD。 如果在创建工作负载时填写了容器的运行命令和参数,将会覆盖镜像构建时的默认命令ENTRYPOINT、CMD,规则如下:
创建灰度发布 基本概念 灰度版本 一个服务仅支持发布一个灰度版本,可以对灰度版本配置相应的灰度策略。 灰度策略 当您需要在生产环境发布一个新的待上线版本时,您可以选择添加一个灰度版本,并配置相应的灰度策略,将原有的生产环境的默认版本的流量引流一部分至待上线版本。经过评估稳定后,可
服务授权 服务授权用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。服务授权通过负载选择器Selector选择目标负载。认证的规则通过JWTRule来描述,定义如何匹配JWT令牌上的认证信息。 创建服务授权 支持YAML创建服务授权。 登录UCS控制台,在左侧导航栏中单击“服务网格”。
认值是TCP。 connect_port 否 Int 健康检查使用的端口。取值范围[1,65535],为可选参数。 说明: 默认使用后端服务器默认业务端口进行健康检查。指定特定端口后,使用指定的端口进行健康检查。 delay 否 Int 健康检查的延迟时间,以秒为单位,1-50,默认值是5秒。
DAC 访问限制。 SYS_PTRACE:允许跟踪任何进程。 本地集群安装云原生日志插件前置授权 由于云原生日志插件需要访问LTS和AOM两个云服务,访问云服务需要对云原生日志插件进行鉴权,本地集群云原生日志插件使用工作负载 Identity方式允许集群中的工作负载模拟IAM用户来访问云服务。
计费项 计费项 使用华为云UCS服务时,会产生UCS服务管理费用,具体内容如表1所示。 表1 华为云UCS计费项 计费项 说明 适用的计费模式 计费公式 UCS集群管理服务 UCS集群管理服务费用由集群类型(包括华为云集群、本地集群、附着集群、多云集群和伙伴云集群)、集群vCPU
服务与路由概述 集群为满足多种复杂场景下的工作负载访问,提供了不同的访问方式,从而满足不同的业务需求。 通过UCS控制台创建服务(Service)、路由(Ingress)后,每个关联工作负载的所属集群中都会创建一个同名的Service、Ingress。 您可以在集群中对UCS自动
身份认证与访问 UCS支持IAM与Kubernetes的角色访问控制(RBAC)的精细的权限管理,实现UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下: UCS服务资源权限:是基于IA
群联邦,并保证集群联邦已开启且状态正常。 当前仅支持从VPC中的客户端通过kubectl连接集群联邦,如您在VPC中没有客户端机器,请创建一台。 已下载kubectl命令行工具并上传至客户端机器。kubectl下载地址请参见Kubernetes 版本发布页面。 确保至少具有“ia
右上角单击“日志采集策略”,将显示当前集群所有上报LTS的日志策略。 图1 查看日志策略 若安装插件时勾选了采集标准输出和采集Kubernetes事件,将创建两个日志策略,并对接默认的LTS日志组、日志流。 创建日志策略:单击上方“创建日志策略”,输入要采集的配置信息。 策略模板:若安装插件时未勾选
步骤一:准备工作 在使用UCS前,本小节将指导您进行一些必要的准备工作,包括注册华为云账号、为账号充值等。 注册华为云并实名认证 如果您已有一个华为云账户,请跳到下一个任务。如果您还没有华为云账户,请参考以下步骤创建。 打开华为云官网,单击“注册”。 根据提示信息完成注册,详细操作请参见注册和登录管理控制台。
Database operation failed. 数据库操作失败 UCS.00000006 500 Server internal error. 服务器内部错误 UCS.00000007 500 Data transform error. 数据转换失败 UCS.00000008 500 Error
Resource Definition / CRDs)来部署和管理Prometheus Server,同时监控这些自定义资源事件的变化来做相应的处理,是整个系统的控制中心。 prometheus(Server):Operator根据自定义资源Prometheus类型中定义的内容而部署Prometheus
与其他云服务的关系 华为云UCS为用户提供一个统一的集群服务管理平台,与周边服务的依赖关系如图1所示。 图1 UCS与其他服务关系 表1 UCS与其他服务的关系 服务名称 UCS与其他服务的关系 主要交互功能 云容器引擎 CCE UCS支持接管云容器引擎中的CCE集群、CCE T
"phase" : "Available" } } ] 状态码 状态码 描述 200 返回未注册到UCS的CCE集群 400 客户端请求错误,服务器无法执行请求 错误码 请参见错误码。 父主题: UCS集群
IAM授权方式 例如:为开发团队创建用户组dev,授予UCS CommonOperations权限,并添加devuser1、devuser2两个用户。 图4 授权记录 图5 用户管理 详细的操作指导请参见UCS服务资源权限(IAM授权)。需要注意的是,UCS的一些功能依赖其他云服务
挂载存储卷 存储卷声明(PVC)提供容器的持久存储管理能力,提供多云场景的统一的容器存储管理,支持将云存储按需挂载到容器,保障应用的高可靠性。 通过UCS控制台创建存储卷声明(PVC)后,系统将自动为您在部署集群中创建一个同名的PVC,并同时创建与该PVC绑定的存储卷(PV)及其
命名空间 命名空间(Namespace)是对集群中一组资源和对象的抽象整合,可通过集群资源配额实现多个用户之间的资源划分,适用于多个团队或项目共享一个集群资源的场景。 创建命名空间 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 在“容器舰队”页签下找到已开通集群联邦的舰队,单击名称进入详情页。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
