检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
通node安全组下100.125.0.0/16网段的容器端口。 配置默认使用的指定dns服务器 操作场景 在某些场景中,用户想要弹性CCI的Pod可以使用指定的dns服务器地址。bursting插件提供配置指定的dns服务器地址的能力,无需在每个Pod上都配置dnsConfig,从而降低用户网络运维成本。
不允许删除CCI的权限,控制他们对CCI资源的使用范围。 如果您的云账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用CCI服务的其它功能。 IAM是云平台提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。 关
完成后快速释放。 云容器实例提供如下特性,能够很好的支持这类场景。 高性能计算:提供高性能计算、网络和高I/O存储,满足密集计算的诉求 极速弹性:秒级资源准备与弹性,减少计算过程中的资源处理环节消耗 免运维:无需感知集群和服务器,大幅简化运维工作、降低运维成本 随启随用、按需付费
数据保护技术 云容器实例同时具备容器级别的启动速度和虚拟机级别的安全隔离能力,提供更好的容器体验。 原生支持Kata Container 基于Kata的内核虚拟化技术,为您提供全面的安全隔离与防护 自有硬件虚拟化加速技术,让您获得更高性能的安全容器 图1 通过Kata容器实现多租户容器强隔离
yaml。创建密钥的方法请参见使用Secret。 同一个ELB实例的同一个端口配置HTTPS时,一个监听器只支持配置一个密钥证书。如果使用两个不同的密钥证书将两个Ingress添加到同一个ELB下的同一个监听器,ELB侧实际只生效最初的证书。 域名:可选填。实际访问的域名地址,该域名
云硬盘存储卷 为满足数据的持久化需求,云容器实例支持将云硬盘(EVS)挂载到容器中。通过云硬盘,可以将存储系统的远端文件目录挂载到容器中,数据卷中的数据将被永久保存,即使删除了容器,只是卸载了挂载数据卷,数据卷中的数据依然保存在存储系统中。 EVS目前支持普通I/O(上一代产品)、高I/O、超高I/O三种规格。
Failed 未满足前提条件,服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大,服务器无法处理,因此拒绝请求。为防止客户端的连续请求,服务器可能会关闭连接。如果只是服务器暂时无法处理,则会包含一个Retry-After的响应信息。
对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。这是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多
任何与配置的集群域后缀不匹配的DNS查询(例如,www.kubernetes.io)将转发到从该节点继承的上游名称服务器。集群管理员可能配置了额外的存根域和上游DNS服务器。 “ClusterFirstWithHostNet”:对于使用hostNetwork运行的Pod,您应该
服务名称:服务名称即Service的名称,Service是用于管理Pod访问的对象。 命名空间:工作负载所在命名空间。 关联工作负载:要添加Service的工作负载。 负载端口配置 协议:访问负载的通信协议,可选择TCP或UDP。 访问端口:负载提供的访问端口。 容器端口:容器监听的端口,负载访问端口映射到容器端口。
您可以使用NAT网关服务,该服务能够为VPC内的容器实例提供网络地址转换(Network Address Translation)服务,SNAT功能通过绑定弹性公网IP,实现私有IP向公有IP的转换,可实现VPC内的容器实例共享弹性公网IP访问Internet。其原理如图1所示。通过NAT网关的SNAT功能,即
fig中配置的dns参数。 nameservers:DNS的IP地址列表。当应用的dnsPolicy设置为“None”时,列表必须至少包含一个IP地址,否则此属性是可选的。列出的DNS的IP列表将合并到基于dnsPolicy生成的域名解析文件的nameserver字段中,并删除重复的地址。
无(使用http) 以上参数的值为tls的证书、私钥、CA文件所在存储卷的“卷名”和“路径”。 获取资源监控指标 配置完上述监控属性后,在能访问Pod IP的VPC内,通过执行如下命令获取Pod的监控数据。 curl $podIP:$port/metrics 其中<podIP>为Pod的IP地址,<port>为监听端口,例如curl
拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予CCIFullAccess的系统策略,但不希望用户拥有CCIFullAccess中定义的删除命名空间权限(cci:namespace:
营安全,以及更广义的安全合规遵从。 租户:负责云服务内部的安全,安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全
Pod的监控指标数据,也可以在AOM中查看。 监控指标 在AOM控制台,可以查看容器实例的指标,指标内容请参见表1。 表1 监控指标 指标ID 指标名称 指标含义 取值范围 单位 cpuUsage CPU使用率 该指标用于统计测量对象的CPU使用率。服务实际使用的与限制的CPU核数量比率。
量规划等,确保有可用的网络资源。 图1 命名空间与VPC子网的关系 哪些情况下适合使用多个命名空间 因为Namespace可以实现部分的环境隔离,当您的项目和人员众多的时候可以考虑根据项目属性,例如生产、测试、开发划分不同的Namespace。 创建Namespace Names
中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 用户开通云审计服务并创建和配置追踪器后,CTS可记录您从云管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。
未关联ELB、EIP的容器实例,因为不对公网暴露,不受该漏洞影响,无需处理。 无状态负载(Deployment):漏洞修复之后(7月11日0点之后)创建的无状态负载,不受该漏洞影响;漏洞修复之前(7月11日0点之前)创建的无状态负载,建议选择业务不受影响的时间窗口,删除并重新创建负载的Pod实例。
查询指定namespace下的ReplicaSets 功能介绍 查询命名空间下所有的ReplicaSets。 调用方法 请参见如何调用API。 URI GET /apis/apps/v1/namespaces/{namespace}/replicasets 表1 路径参数 参数 是否必选
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
