检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
数据保护技术 CCE通过多种数据保护手段和特性,保障数据的安全可靠。 表1 CCE的数据保护手段和特性 数据保护手段 简要说明 详细介绍 服务发现支持证书配置 CCE集群中的应用服务支持使用HTTPS传输协议,保证数据传输的安全性,您可以根据需求创建四层或七层的访问方式来对接负载均衡器。
个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。通过使用安全运行时,不同容器之间的内核、计算资源、网络都是隔离开的,保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE Turbo集群支持使用普通运行时和安全运行时创建工作负载,您可以根据业务需求选择使用,两者的区别如下:
节点关闭缩容保护 功能介绍 该API用于节点关闭缩容保护,关闭缩容保护的节点可以通过修改节点池个数的方式被缩容,只允许按需节点关闭缩容保护。 调用方法 请参见如何调用API。 URI POST /api/v3/projects/{project_id}/clusters/{clu
节点开启缩容保护 功能介绍 该API用于节点开启缩容保护,开启缩容保护的节点无法通过修改节点池个数的方式被缩容。 调用方法 请参见如何调用API。 URI POST /api/v3/projects/{project_id}/clusters/{cluster_id}/nodes/locknodescaledown
载保护能力,同时梳理了集群过载保护的建议措施。 什么是集群过载 集群过载时,会出现Kubernetes API响应延迟增加、控制节点资源水位升高的现象。在过载状况极端的情况下,可能会出现 Kubernetes API 无法响应,控制节点无法使用,甚至整个集群无法正常工作的情况。
功能,包括镜像的上传、下载、删除等。 SWR的一个显著特点是其细粒度的权限管理能力,允许管理员为不同用户定制访问权限,包括读取、编辑和管理等级别。这确保了镜像的安全性和合规性,同时满足了团队协作的需求。 此外,SWR还具备自动化部署的能力。用户可以通过设置触发器,实现镜像版本更新
方式一:CCE界面 登录CCE控制台,进入一个已有的集群(集群版本为v1.23及以上)。 在概览页面,查看控制节点信息,将会显示“过载等级”指标。 过载等级如下: 熔断:拒绝所有外部流量 重度过载:拒绝75%外部流量 中度过载:拒绝50%外部流量 轻度过载:拒绝25%外部流量 正常:不拒绝外部流量
验。 商用 3 CCE Turbo集群+裸金属服务器(x86)支持安全容器 通过安全容器,不同容器之间的内核、计算资源、网络都是隔离开的,保护了Pod的资源和数据不被其他Pod抢占和窃取。 商用 4 支持Ubuntu 18.04的操作系统 在CCE集群和CCE Turbo集群中创建节点时,支持选择Ubuntu
登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“监控中心”,单击“集群”页签。 集群健康度 集群健康度评估包括多个维度,如健康评分、待处理风险项数、风险等级,以及诊断风险项在Master、集群、节点、工作负载和外部依赖五个方面的占比(异常数据使用红色突出显示)。欲了解更多诊断结果,请前往健康中心页面查看。
E-2022-0811) 漏洞详情 crowdstrike安全团队披露CRI-O 1.19版本中存在一个安全漏洞,攻击者可以利用该漏洞绕过保护措施并在主机上设置任意内核参数。这将导致任何有权在使用CRI-O的Kubernetes集群上部署Pod的用户都可以滥用kernel.cor
batch/v1。 不可变的Secret和ConfigMap现在已升级到稳定状态。向这些对象添加了一个新的不可变字段,以拒绝更改。此拒绝可保护集群免受可能无意间中断应用程序的更新。因为这些资源是不可变的,kubelet不会监视或轮询更改。这减少了kube-apiserver的负载
batch/v1。 不可变的Secret和ConfigMap现在已升级到稳定状态。向这些对象添加了一个新的不可变字段,以拒绝更改。此拒绝可保护集群免受可能无意中中断应用程序的更新。因为这些资源是不可变的,kubelet不会监视或轮询更改。这减少了kube-apiserver的负载
加密云硬盘存储卷 云盘加密功能适用于需要高安全性或合规性要求的应用场景,可以保护数据的隐私性和自主性。本文将为您介绍如何使用数据加密服务(DEW)中管理的密钥对云盘存储卷数据进行加密。 前提条件 您已经创建好一个集群,并且在该集群中安装CCE容器存储(Everest)。 已在数据
建议将配置项与data中的键一一对应,避免将多项配置结构整体作为data中的一项来维护,配置更新过程中可能产生误覆盖等问题 Configmap没有加密等保护机制,请不要用来存放账号凭据等敏感信息,否则可能导致敏感信息泄露等安全问题 父主题: 配置项
置更新过程中可能产生误覆盖等问题 密钥信息在落盘存储时会加密,但用户查询密钥时系统会解密后返回。因此,不能依赖密钥的加密机制保证用户态的信息安全,敏感信息需要用户额外加密后再配置到data字段, 否则可能导致敏感信息泄露等安全问题 父主题: 密钥
Management Service),您可以使用KMS密钥对CCE中存储的Kubernetes Secret对象进行信封加密,为应用程序的敏感数据提供安全保护。 当前仅CCE Standard和Turbo集群支持在创建时开启Secret落盘加密,存量集群暂不支持开启,且开启后不支持关闭。 该特性
触发场景 同时删除PVC和与其绑定的PV,会出现底层存储没有被同步删除的情况。 在删除PVC前,尝试直接删除PV,但由于PV被PVC绑定而受到保护无法直接删除。然后再删除PVC,就会出现底层存储没有被同步删除的情况。 问题根因 在开源csi-provisioner模块业务逻辑中,常规
集群网络地址段规划实践 在CCE中创建集群时,您需要根据具体的业务需求规划VPC的数量、子网的数量、容器网段划分和服务网段连通方式。 本文将介绍VPC环境下CCE集群里各种地址的作用,以及地址段该如何规划。 约束与限制 通过搭建VPN方式访问CCE集群,需要注意VPN网络和集群所在的VPC网段、容器使用网段不能冲突。
inating状态。 问题根因 Kubernetes为了防止误删除PV和PVC导致数据丢失,存在数据保护机制,无法使用delete命令直接删除。 解决方案 执行以下命令,先解除保护机制,再删除PV或PVC。 如果已经使用kubectl delete命令删除PV或PVC,会一直处在
在实际使用过程中,您可能会遇到许多误删除集群的场景。例如,如果您的账号为多人协作使用,其他用户可能会误删除不属于自己的集群。因此,您可以为重要的集群设置禁止删除的保护措施,防止通过控制台或API误删除集群,避免集群中的重要数据丢失。 操作步骤 登录CCE控制台,单击集群名称进入集群控制台。 在集群控制台左侧导航栏中选择“配置中心”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
