检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
noupdateserviceaccount 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:* 参数: allowedGroups:数组 allowedUsers:数组 作用 拒绝白名单外的资源更新ServiceAccount。 策略实例示例 以下策略实例展示了策略定义
为集群添加标签与污点 UCS支持为集群打上不同的标签,来定义不同的属性,通过这些标签可以快速地了解各个集群的特点。而污点(taint)能够使集群排斥某些特定的Pod,从而避免Pod调度到该集群上,实现各集群负载的合理分配。 标签说明 通过给集群打上不同的标签,将集群进行分类,方便集群管理。
集群连线配置文件 -c, --config string 集群配置文件 -h, --help 帮助信息 -r, --retry 安装重试 示例:
注销本地集群 在控制台注销本地集群 仅在控制台进行注销操作,不会删除集群。 进入 UCS 界面,左侧导航栏选择“容器舰队”。 找到待注销的本地集群: 已加入容器舰队的本地集群,先进入对应的容器舰队控制台,然后再左侧导航栏选择容器集群。 未加入容器舰队的本地集群,单击容器舰队列表最上面的“未加入舰队的集群”即可。
策略中心运行异常怎么办? 策略中心运行异常的可能原因为Gatekeeper插件损坏,或者被删除。根据失败情况请使用以下方案排查修复: 检查gatekeeper-system命名空间中gatekeeper-controller-manager、gatekeeper-audit这两个
策略定义与策略实例的基本概念 策略定义 在创建策略实例之前,您需要先定义一个策略定义,它描述了强制执行约束的Rego代码和约束的模式。约束的模式允许管理员像调整函数参数一样微调约束的行为。策略定义中的Rego代码描述了强制执行的具体逻辑,根据您的需求来实现不同的合规性规则。而约束
k8spspseccomp 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedLocalhostFiles:数组 allowedProfiles:数组 exemptImages:字符串数组 作用 约束PodSecurityPolicy上的“seccomp
k8sallowedrepos 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: repos:字符串数组 作用 容器镜像必须以指定字符串列表中的字符串开头。 策略实例示例 以下策略实例定义容器镜像必须以“openpolicyagent/”开头。 apiVersion:
如何精细化管理集群联邦权限? 如果您在访问联邦资源时出现如下错误提示,说明您没有对应资源的操作权限,请您向您的管理员申请授予对应的权限,创建对应的Role/RoleBinding或者ClusterRole/ClusterRolebinding权限。 如果出现“no such host”问题,请按以下步骤进行排查:
选择工作负载所需部署的命名空间。 描述 输入工作负载的描述信息。 实例数量 设置工作负载中各集群的实例数,默认为2。 设置工作负载容器配置。 工作负载中的Pod内可配置多个容器,您可以单击右侧“添加容器”为Pod配置多个容器并分别进行设置,本例中仅对容器的基本信息进行配置。 表2 基本信息参数说明
在左侧导航栏中单击“节点管理”,单击右上角“创建节点”。 输入节点名称,选择需要的节点规格,可根据实际情况选择磁盘大小及数据盘数量。 配置完成后,单击“下一步:规格确认”。 规格确认无误后单击“提交”;如有问题,单击“上一步”返回修改。 节点创建过程中,可用区、节点类型、容器
选择需要开启监控的集群。 图2 选择集群 完成指标采集配置,本例中使用默认配置参数配置,如图3所示。 指标采集配置参数的具体说明可参考为附着集群开启监控。 图3 指标采集配置 单击“确认接入”,自动返回至“容器洞察 > 集群总览”页面,集群的接入状态为“安装中”。 等待集群开启监控成功后,列表中
第三方云集群跨云迁移流程 UCS容器迁移支持将第三方云Kubernetes托管集群应用迁移到UCS华为云集群或多云集群,实现跨云迁移和统一管理。迁移流程如图1所示。 图1 迁移流程 主要包含四个步骤: 集群评估 在这个阶段,您将根据源集群的现状来评估适合迁移的目标集群类型。UCS
版本的HPA到成员集群,您的PropagationPolicy对象中的resourceSelectors[i].apiVersion字段应配置为autoscaling/v2,如示例YAML所示。分发成功后,您可以在成员集群中查询到autoscaling/v1版本的HPA。 apiVersion:
集群注销后如何清理权限相关资源? 在集群从UCS注销后,可能会存在一些RBAC资源残留,您可以根据以下建议清理这些资源。 UCS创建的RBAC资源带有标签"ucs.rbac.policy=true",您可以利用此标签对UCS创建的RBAC资源进行查询、删除等操作。 例如: 父主题:
容器洞察概述 容器洞察提供基于Kubernetes原生类型的容器监控能力,全面监控集群的健康状态和负荷程度。 支持集群、节点、工作负载的资源全景。 支持节点的资源占用、工作负载的资源消耗。 展示近一小时的CPU/内存指标。 父主题: 容器洞察
k8spspreadonlyrootfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“readOnlyRootFilesystem”字段。 策略实例示例
k8spspvolumetypes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: volumes:数组 作用 约束PodSecurityPolicy中的“volumes”字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,paramete
k8spsphostfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedHostPaths: readOnly: 布尔值 pathPrefix: 字符串 作用 约束PodSecurityPolicy中的“hostPath”字段的参数。
k8sdisallowedtags 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: tags:字符串数组 exemptImages:字符串数组 作用 约束容器镜像tag。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中表示不允许容器镜像tag为latest。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
