检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
筛选结果中将会包含多个安全组,找到控制节点的安全组(以[cce集群名称]-cce-control开头),单击“配置规则”。 修改入方向的5443端口规则,单击“修改”。 根据需求修改允许访问的源地址。例如,客户端需要访问API Server的IP为100.*.*.*,则可添加5443端口入方向规则的源地址为100
对象存储卷概述 为满足数据持久化的需求,CCE支持将对象存储服务(OBS)创建的存储卷挂载到容器的某一路径下,对象存储适用于云工作负载、数据分析、内容分析和热点对象等场景。 图1 CCE挂载对象存储卷 约束限制 安全容器不支持使用对象存储卷。 OBS限制单用户创建100个桶,但是
和持久性,以及稳定的低时延性能。 存储数据的逻辑 存放的是二进制数据,无法直接存放文件,如果需要存放文件,需要先格式化文件系统后使用。 存放的是文件,会以文件和文件夹的层次结构来整理和呈现数据。 存放的是文件,会以文件和文件夹的层次结构来整理和呈现数据。 存放的是对象,可以直接存
iptables规则的方式来实现service负载均衡。该方式最主要的问题是在服务多的时候产生太多的iptables规则,非增量式更新会引入一定的时延,大规模情况下有明显的性能问题。 ipvs:主导开发并在社区获得广泛支持的kube-proxy模式,采用增量式更新,吞吐更高,速度
存储卷类型 存储卷类型包含CCE所对接的华为云底层存储类型 参数名 取值范围 默认值 是否允许修改 作用范围 Volume Type 四种类型:云硬盘、文件存储、对象存储、极速文件存储 无 支持初始化时配置,不支持后续修改 - CCE当前对接的华为云底层存储类型包括云硬盘、文件存储、对象存储、极速文件存储
安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服
iptables:社区传统的kube-proxy模式,完全以iptables规则的方式来实现service负载均衡。该方式最主要的问题是在服务多的时候产生太多的iptables规则,非增量式更新会引入一定的时延,大规模情况下有明显的性能问题。 ipvs:主导开发并在社区获得广泛支持的kube-p
容器网络带宽限制的配置建议 应用场景 同一个节点上的容器会共用主机网络带宽,对容器的网络带宽进行限制,可以有效避免容器之间相互干扰,提升容器间的网络稳定性。 约束与限制 Pod带宽限制功能规格如下: 功能规格 容器隧道网络模型 VPC网络模型 云原生网络2.0模型 支持的集群版本 所有集群版本均支持
空间中的Pod的流量都被允许。 NetworkPolicy的Ingress/Egress对端选择方式有如下3种: namespaceSelector:根据命名空间的标签选择,具有该标签的命名空间都可以访问或被访问。 podSelector:根据Pod的标签选择,具有该标签的Pod都可以访问或被访问。
客户端校验服务端的合法性:服务端证书是否被客户端信任的CA所签发,且证书中的SAN是否与客户端实际访问的IP地址或DNS域名匹配。 当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时,您可以将客户端可直接访问的IP地址或者DNS域名通过SAN的方式签入集群服务端证书,
用某些CPU的能力,以减少应用在多个CPU间频繁切换带来的影响。 商用 2022年7月 序号 功能名称 功能描述 阶段 相关文档 1 CCE Turbo分布式集群 CCE Turbo分布式集群在CCE Turbo集群的基础上增加了管理边缘基础设施的能力,包括智能边缘云Homezo
iptables:社区传统的kube-proxy模式,完全以iptables规则的方式来实现service负载均衡。该方式最主要的问题是在服务多的时候产生太多的iptables规则,非增量式更新会引入一定的时延,大规模情况下有明显的性能问题。 ipvs:主导开发并在社区获得广泛支持的kube-p
ver,是一款云存储驱动插件,北向遵循标准容器平台存储驱动接口。实现Kubernetes Flex Volume标准接口,提供容器使用EVS块存储、SFS文件存储、OBS 对象存储、SFS Turbo 极速文件存储的能力。通过安装升级云存储插件可以实现云存储功能的快速安装和更新升级。
条件,帮助更好的生产环境中部署该镜像。 更轻松的迁移 由于Docker确保了执行环境的一致性,使得应用的迁移更加容易。Docker可以在很多平台上运行,无论是物理机、虚拟机、公有云、私有云,甚至是笔记本,其运行结果是一致的。因此用户可以很轻易地将在一个平台上运行的应用,迁移到另一
metadata是集群对象的元数据定义,是集合类的元素类型,包含一组由不同名称定义的属性。 spec 是 PersistentVolumeClaimSpec object spec是集合类的元素类型,用户对需要管理的集群对象进行详细描述的主体部分都在spec中给出。系统通过spec的描述来创建或更新对象。
9-r0、v1.28.7-r0、v1.29.3-r0及以上版本的集群支持删除容器子网。 删除子网后,CCE默认生成的节点级的安全组不会自动清理待删除子网的安全组规则,需要手动清理。 操作步骤 登录CCE控制台,单击集群列表中的集群名称。 在左侧导航栏中选择“配置中心”,切换至“网络配置”页签。
限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。 默认情况下,如果命名空间中不存在任何策略,则所有进出该命名空间中的Pod的流量都被允许。 NetworkPolicy的规则可以选择如下3种:
公网地址:为Kubernetes集群的API Server绑定弹性公网IP。配置完成后,集群API Server将具有公网访问能力。 绑定弹性公网IP后,集群存在公网访问风险,建议为控制节点安全组加固5443端口的入方向规则。详情请参见如何配置集群的访问策略。 此操作将会短暂重启 kube-apiserver
String 文件系统类型,请根据使用的存储类型填写: ext4 (EVS) nfs (SFS) obs (OBS) efs (SFS Turbo) region 是 String 云存储所在的region。 volumeID 是 String 云存储的UUID,如果是OBS-bucket则填入名称
虚拟私有云”。 单击“创建虚拟私有云”。 在“创建虚拟私有云”页面,根据界面提示配置虚拟私有云参数。 创建虚拟私有云时会同时创建一个默认子网,您还可以单击“添加子网”创建多个子网。 单击“立即创建”。 (可选)创建密钥对 云平台使用公共密钥密码术来保护您的云容器引擎节点的登录信息
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
