检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
kinds: ["Pod"] parameters: procMount: Default 符合策略实例的资源定义 示例中securityContext字段中的procMount为Default,符合策略实例。 apiVersion: v1 kind: Pod metadata:
和不同管理目的,在使用方式上有细微的差异,具体差异请参考对应使用方式的指导文档,本入门指导旨在帮助您对UCS产品入门操作进行初步认识。 图1 UCS入门流程 进行必要的准备工作,请参见步骤一:准备工作。 创建容器舰队,请参见步骤二:创建容器舰队。 为容器舰队添加集群,请参见步骤三:为容器舰队添加集群。
svirt_sandbox_file_t user: system_u 符合策略实例的资源定义 示例中seLinuxOptions参数均在参数列表中,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: nginx-selinux-allowed
parameters: allowedProfiles: - runtime/default 符合策略实例的资源定义 示例中apparmor的值在上述定义的允许范围内,符合策略实例。 apiVersion: v1 kind: Pod metadata: name:
authorization.k8s.io"] kinds: ["ClusterRole"] 符合策略实例的资源定义 示例中ClusterRole的生效对象中没有endpoints,符合策略实例。 apiVersion: rbac.authorization.k8s.io/v1 kind:
allowedFlexVolumes:数组 作用 约束PodSecurityPolicy中的allowedFlexVolumes字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中的allowedFlexVolumes字段定义了允许的driver类型列表。
ports: - port: 80 targetPort: 80 nodePort: 30007 父主题: 使用策略定义库
创建权限策略 功能介绍 创建权限策略 URI POST /v1/permissions/rules 请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 最小长度:1 最大长度:16384 表2 请求Body参数
parameters: allowedIPs: - "203.0.113.0" 符合策略实例的资源定义 externalIPs中的IP为允许列表中的IP,符合策略实例。 apiVersion: v1 kind: Service metadata: name: allowed-external-ip
创建请求认证 支持YAML创建请求认证。 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“请求认证”,进入请求认证详情页。 单击右上角“YAML创建”,弹出请求认证YAML创建界面。 为命名空间下的服务访问,校验请求中的认证信息。
rnetes事件,将创建两个日志策略,并对接默认的LTS日志组、日志流。 创建日志策略:单击上方“创建日志策略”,输入要采集的配置信息。 策略模板:若安装插件时未勾选需要采集的日志策略,或者删除了对应的日志策略,可通过该方式重新创建默认日志策略。 图2 使用策略模板 自定义策略:用于配置自定义日志策略。
策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 禁止PodSecurityPolicy中的“privileged”字段为true。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints
整型 作用 约束PodSecurityPolicy中的runAsUser、runAsGroup、supplementalGroups和fsGroup字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中定义了对runAsUser、runAsGroup
策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“allowPrivilegeEscalation”字段为false。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion:
作用 限制PodSecurityPolicy中的“allowedCapabilities”和“requiredDropCapabilities”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中定义了allowedCapabilities和r
periodSeconds: 10 volumes: - name: cache-volume emptyDir: {} 父主题: 使用策略定义库
exemptImages:字符串数组 limits cpu memory requests cpu memory 作用 约束容器资源使用。 策略实例示例 必须配置内存的Limit,CPU和内存的Request。 apiVersion: constraints.gatekeeper
automountServiceAccountToken: true containers: - name: nginx image: nginx 父主题: 使用策略定义库
8开始,Kubernetes 通过 Metrics API 提供资源使用指标,例如容器CPU和内存使用率。这些度量可以由用户直接访问(例如:通过使用kubectl top命令),或者由集群中的控制器(例如:Horizontal Pod Autoscaler)使用来进行决策,具体的组件为Metrics Server。
kspider架构 kspider使用方法 kspider工具支持在Linux(x86、arm)和Windows环境中运行,使用方法相似。本文将以Linux(x86)环境为例进行介绍。 若使用Linux(arm)或Windows环境,请将下述命令中的kspider-linux-am
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
