检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
工作负载下的容器组 Pod 占用的磁盘空间设置上限(包含容器镜像占用的空间)。合理的配置可避免容器组无节制使用磁盘空间导致业务异常。建议此值不超过容器引擎空间的 80%。该参数与节点操作系统和容器存储Rootfs相关,部分场景下不支持设置。 更多关于容器存储空间分配的内容,请参考数据盘空间分配说明。
安全 安全配置概述 CCE集群安全配置建议 CCE节点安全配置建议 CCE容器运行时的安全配置建议 在CCE集群中使用容器的安全配置建议 在CCE集群中使用镜像服务的安全配置建议 在CCE集群中使用密钥Secret的安全配置建议 在CCE集群中使用工作负载Identity的安全配置建议
描述的是负载对存储的申领。为应用配置存储时,需要声明一个存储需求(即PVC),Kubernetes会通过最佳匹配的方式选择一个满足需求的PV,并与PVC绑定。PVC与PV是一一对应关系,在创建PVC时,需描述请求的持久化存储的属性,比如,存储的大小、可读写权限等等。 在Pod中可
创建命名空间 操作场景 命名空间(Namespace)是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间,不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务,也能够互不干扰。 例如可以将开发环境、测试环境的业务分别放在不同的命名空间。 前提条件 至少已创建一个集群。
容器业务的创删文件操作建议在容器挂载的本地存储(如emptyDir、hostPath)或云存储的目录中进行,这样不会占用thinpool空间。其中Emptydir使用的是kubelet空间,需要规划好kubelet空间的大小。 可将业务部署在使用OverlayFS存储模式的节点上(请参见操作系统与容器存储Roo
安全 责任共担 数据保护技术 审计与日志 监控安全风险 认证证书
安全运行时与普通运行时 相比于普通运行时,安全运行时可以让您的每个容器(准确地说是Pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。通过使用安全运行时,不同容器之间的内核、计算资源、网络都是隔离开的,保护了Pod的资源和数据不被其他Pod抢占和窃取。
监控安全风险 结合应用运维管理AOM服务,CCE提供基于Kubernetes原生类型的容器监控能力,可实时监控应用及资源,采集各项指标及事件等数据以分析应用健康状态,提供全面、清晰、多维度数据可视化能力。此外,您还可以根据自己的需求,采集和监控工作负载的自定义指标,实现个性化的监控策略。
命名空间 创建命名空间 管理命名空间 设置资源配额及限制
安全加固 集群节点如何不暴露到公网? 如何配置集群的访问策略 如何获取TLS密钥证书? 如何批量修改集群node节点安全组? 父主题: 网络管理
管理命名空间 使用命名空间 创建工作负载时,您可以选择对应的命名空间,实现资源或租户的隔离。 查询工作负载时,选择对应的命名空间,查看对应命名空间下的所有工作负载。 命名空间使用实践 按照不同环境划分命名空间 一般情况下,工作负载发布会经历开发环境、联调环境、测试环境,最后到生产
在CCE集群中使用工作负载Identity的安全配置建议 工作负载Identity允许集群中的工作负载模拟IAM用户来访问云服务,从而无需直接使用IAM账号的AK/SK等信息,降低安全风险。 本文档介绍如何在CCE中使用工作负载Identity。 约束与限制 支持1.19.16及以上版本集群。
集群自动创建的默认安全组规则放通指定端口,以保证集群中的正常网络通信。 不同网络模型的默认安全组规则如下: VPC网络模型安全组规则 容器隧道网络模型安全组规则 云原生网络2.0(CCE Turbo集群)安全组规则 安全组规则的修改和删除可能会影响集群的正常运行,请谨慎操作。如需
Turbo集群:在集群的ENI安全组中添加出方向规则。 登录VPC控制台。 在左侧导航栏中选择“访问控制>安全组”。 找到集群对应的ENI安全组,命名格式为{集群名}-cce-eni-{随机ID},单击该安全组名称配置规则。 切换至“出方向规则”页签,并单击“添加规则”,为安全组添加出方向规则。
s等。合理配置命名空间的可分配资源总量,能够防止某个命名空间创建过多的资源影响整个集群的稳定性。 详情请参见:设置资源配额及限制。 配置命名空间下容器的Limit ranges 通过资源配额,集群管理员可以以命名空间为单位,限制其资源的使用与创建。 在命名空间中,一个 Pod 或
Pod安全配置 PodSecurityPolicy配置 Pod Security Admission配置 父主题: 工作负载
容器安全插件 CCE密钥管理(对接 DEW) 容器镜像签名验证 父主题: 插件
控制台的安全组找到CCE集群对应的安全组规则进行安全加固。 详情请参见如何加固CCE集群的自动创建的安全组规则? 节点应按需进行加固 CCE服务的集群节点操作系统配置与开源操作系统默认配置保持一致,用户在节点创建完成后应根据自身安全诉求进行安全加固。 CCE提供以下建议的加固方法:
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
子路径 请输入存储卷的子路径,将存储卷中的某个路径挂载至容器,可以实现在单一Pod中使用同一个存储卷的不同文件夹。如:tmp,表示容器中挂载路径下的数据会存储在存储卷的tmp文件夹中。不填写时默认为根路径。 权限 只读:只能读容器路径中的数据卷。 读写:可修改容器路径中的数据卷,容器
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
