检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全 责任共担 身份认证与访问 审计与日志 监控风险安全 认证证书
使用工作负载Identity安全访问云服务 应用场景 工作负载Identity允许集群中的工作负载模拟IAM用户来访问云服务,从而无需直接使用IAM账号的 AK/SK 等信息,降低安全风险。 本文档介绍如何在UCS中使用工作负载Identity。 方案流程 使用工作负载Identity的流程如图1
容器存储 集群挂载存储卷声明时,需要集群提供商具备存储类(StorageClass)功能,以实现存储卷的动态创建。您可前往集群控制台的“存储”页面,在“存储类”页签下查看集群支持的存储类。更多StorageClass相关内容,请参见存储类。 创建存储卷声明 登录集群控制台。 在左
监控风险安全 容器洞察提供基于Kubernetes原生类型的容器监控能力,全面监控集群的健康状态和负荷程度。 支持集群、节点、工作负载的资源全景。 支持节点的资源占用、工作负载的资源消耗。 展示近一小时的CPU/内存指标。 关于UCS监控风险安全的详细介绍,请参见容器洞察章节。 父主题:
服务安全 概述 对端认证 请求认证 服务授权 父主题: 服务网格
在左侧导航栏中选择“命名空间”,单击右上角“创建命名空间”。 参照表1设置命名空间参数。 表1 命名空间基本信息 参数 参数说明 命名空间名称 新建命名空间的名称,命名必须唯一。 标签 Key/value键值对格式,给命名空间添加自定义标签,定义不同属性,通过这些标签了解各个命名空间的特点。 注解
等场景。 对象存储(OBS):对象存储没有总数据容量和对象/文件数量的限制,为用户提供了超大存储容量的能力,适合存放任意类型的文件,可用于海量数据存储分析、历史数据明细查询、海量行为日志分析和公共事务分析统计等场景。 非华为云集群:非华为云集群在使用存储卷声明挂载云存储时,需要集
删除”。 设置命名空间配额 资源配额可以限制命名空间下的资源使用,进而支持以命名空间为粒度的资源划分。 通过设置命名空间级别的资源配额,实现多团队或多用户在共享集群资源的情况下限制团队、用户可以使用的资源总量,包括限制命名空间下创建某一类型对象的数量以及对象消耗计算资源(CPU、内存)的总量。
命名空间 命名空间(Namespace)是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间,不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务,也能够互不干扰。例如可以将开发环境、测试环境的业务分别放在不同的命名空间。 命名空间按创建类型分为两大类:集群默认创建、用户创建。
UCS支持IAM与Kubernetes的角色访问控制(RBAC)的精细的权限管理,实现UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下: UCS服务资源权限:是基于IAM系统策略的授权。UCS服务资源包
云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 图1 云审计服务
创建存储卷声明 通过UCS控制台创建存储卷声明(PVC)后,系统将自动为您在部署集群中创建一个同名的PVC,并同时创建与该PVC绑定的存储卷(PV)及其对应的存储资源。如您对Kubernetes中存储卷、存储卷声明及存储资源之间的关系不够了解,请参见持久化存储。 您可以在集群中对
安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能
新建的密钥的名称,同一个命名空间内命名必须唯一。 命名空间 新建密钥所在的命名空间,默认为default。 描述 密钥的描述信息。 密钥类型 新建的密钥类型,选择kubernetes.io/dockerconfigjson类型,用于存放拉取私有仓库镜像所需的认证信息。 镜像仓库地址 镜像仓库地址为“swr
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“服务授权”,进入服务授权详情页。 选定要更新的策略,单击操作列下的“YAML编辑”。 更新设置的条件,比如版本号。 spec: selector: matchLabels:
ASM服务提供了一个透明的分布式安全层,并提供了底层安全的通信通道,管理服务通信的认证、授权和加密,还提供了实例到实例、服务到服务的通信安全。 开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 安全功能主要分为对端认证、请求认证和服务授权,以确保服务间通信的可靠性。 父主题:
应用管理,对于应用迁移的需求较弱,应用管理能力的短缺并不是很凸显。 而面对跨云的应用伸缩场景,传统云原生的应用数据克隆、迁移都需要运维人员手动执行,效率低,工作量大。 应用一键迁移 华为云UCS支持跨云场景的应用数据同步复制能力,可以实现在分布式基础设施上的弹性扩容,支撑应用容灾
单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“对端认证”,进入对端认证详情页。 选定要更新的认证策略,单击操作列下的“YAML编辑”。 根据实际需求更新对端认证。例如:网格统一认证策略更新为命名空间统一认证策略,设置如下: apiVersion: security
务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“请求认证”,进入请求认证详情页。 单击右上角“YAML创建”,弹出请求认证YAML创建界面。 为命名空间下的服务访问,校验请求中的认证信息。 apiVersion: security.istio.io/v1beta1
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
