检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
示例:使用策略中心实现Kubernetes资源合规性治理 假设您是一家大型企业的平台工程师,负责整个基础设施环境的安全策略配置和管理,确保企业多个团队使用集群资源的合规性。利用UCS策略中心,您可以: 创建统一的策略实例:使用UCS策略中心创建一个统一的策略实例,包含所有团队需要
k8spspflexvolumes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedFlexVolumes:数组 作用 约束PodSecurityPolicy中的allowedFlexVolumes字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,par
k8srequiredprobes 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: probes:数组 probeTypes:数组 作用 要求Pod具有Readiness或Liveness Probe。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,paramete
uiredDropCapabilities”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中定义了allowedCapabilities和requiredDropCapabilities的列表。 apiVersion: constraints
登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“流量治理”下的“流量策略”,进入流量策略列表。 选择想要更新的流量策略,单击右侧操作列下的“编辑YAML”,进入“更新流量策略”页面。 YAML设置如下(根据实际需求调整配置参数): apiVersion: networking
k8spspprivilegedcontainer 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 禁止PodSecurityPolicy中的“privileged”字段为true。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion:
为集群添加标签与污点 UCS支持为集群打上不同的标签,来定义不同的属性,通过这些标签可以快速地了解各个集群的特点。而污点(taint)能够使集群排斥某些特定的Pod,从而避免Pod调度到该集群上,实现各集群负载的合理分配。 标签说明 通过给集群打上不同的标签,将集群进行分类,方便集群管理。
memory requests: - cpu - memory 符合策略实例的资源定义 已经配置内存的Limit,CPU和内存的Request,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: opa-allowed
max: 整型 作用 约束PodSecurityPolicy中的runAsUser、runAsGroup、supplementalGroups和fsGroup字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中定义了对runAsUser、run
基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“allowPrivilegeEscalation”字段为false。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。
k8sexternalips 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数: allowedIPs:字符串数组 作用 限制服务externalIP仅为允许的IP地址列表。 策略实例示例 服务的externalIP仅允许allowedIPs中定义的IP。 apiVersion:
如您没有可用的ELB实例,需要先创建ELB实例,具体请参考创建独享型负载均衡器。该ELB实例需要满足以下条件: ELB为独享型。 ELB必须支持网络型(TCP/UDP)。 ELB网络类型必须支持私网(有私有IP地址)。 如果ELB与成员集群的网络不在同一VPC内,ELB需要支持开启跨VPC访问的开关。
集群的容器网段不能和网格内已有集群的容器网段冲突。如果集群和网格内的已有集群处于不同的VPC,集群的子网网段也不能冲突。 前提条件 需要加入舰队的华为云集群已经完成注册。如果未完成注册,请参考注册华为云集群。 操作步骤 登录UCS控制台,单击左侧导航栏中的“容器舰队”,进入容器舰队列表页。 在目标舰队栏中单击“添加集群”,或单击右上角的按钮。
object 基本信息。 spec RuleSpec object spec是集合类的元素类型,您对需要管理的对象进行详细描述的主体部分都在spec中给出。UCS通过spec的描述来创建或更新对象。 表5 ObjectMeta 参数 参数类型 描述 uid String 集群ID
objects 权限策略id以及涉及到的命名空间 表4 RuleIDNamespaces 参数 是否必选 参数类型 描述 ruleIDs 否 Array of strings 权限策略id namespaces 否 Array of strings 权限策略涉及到的命名空间 响应参数
向容器舰队中添加集群 功能介绍 向容器舰队中添加集群,同批次可以添加一个或多个集群,该接口无法清空或减少管理的集群。 URI PUT /v1/clustergroups/{clustergroupid}/associatedclusters 表1 路径参数 参数 是否必选 参数类型
900%)= 10倍的速率进行扩容。例如,若工作负载中Pod数从1开始,那么在上述配置下,每隔60秒的扩容Pod数的变化如下:1 > 10 > 100 > ... 。需要注意的是,扩缩后的Pod数量不能超过FedratedHPA策略配置的最大Pod数。 Percent类型对资源消耗的波动较大
工作负载:选择需要应用该策略的工作负载,也可新建工作负载,新建的具体操作请参见创建工作负载。 指标伸缩策略:选择已创建的指标伸缩策略,也可单击右侧新建,新建的具体操作请参见创建FederatedHPA策略。 单击策略配置下的“添加规则”,参考表2配置策略规则。 表2 CronFederatedHPA策略规则配置
删除权限策略 功能介绍 删除权限策略 URI DELETE /v1/permissions/rules/{ruleid} 表1 路径参数 参数 是否必选 参数类型 描述 ruleid 是 String 权限策略id 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述
objects 权限策略id以及涉及到的命名空间 表4 RuleIDNamespaces 参数 是否必选 参数类型 描述 ruleIDs 否 Array of strings 权限策略id namespaces 否 Array of strings 权限策略涉及到的命名空间 响应参数
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
