检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
请求认证 在服务网格中配置请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access Token是否可信,并授权给来源合法的请求。请求认证通过负载选择器Selector选择目标负载。认证的规则通过JWTRule来描述,定义如何匹配JWT令牌上的认证信息。
启用策略中心失败怎么办? 策略中心启用失败时,根据失败情况请使用以下方案排查修复: 如果提示“wait for plugins status become health time out”,请检查集群状态是否正常,集群资源是否足够。检查无误后单击“重新启用”。 如果在启用策略中心
(可选)设置可观测性配置。 应用指标 可选是否启用应用指标,应用指标开启后,可以在网格中构建服务访问指标、应用拓扑、服务健康和服务SLO定义。 访问日志 可选是否启用访问日志,访问日志开启后,可以在网格中查询到详细的服务间访问记录,定位每次访问异常。 目前暂不支持创建网格后再重新开启可观测性配置。 调用链
身份认证可以控制对目标工作负载上双向认证的模式。 创建对端认证 支持YAML创建对端认证。 登录UCS控制台,进入网格。 在左侧导航栏,单击“服务安全”下的“对端认证”,进入对端认证详情页。 单击右上角“YAML创建”,弹出对端认证YAML创建界面。 为服务开启双向认证,该服务使
设置集群网络 创建MCS前,需要保证集群间的节点网络互通与容器网络互通。 请参考表1检查集群网络情况。若集群或容器间网络还未打通,请参考表中设置方法对集群网络进行配置。若按照方法进行设置后仍无法打通网络,请参考常见问题进行问题排查。 表1 打通集群间网络 集群间网络 检查方法 打通方法
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
X-Auth-Token 是 String 身份认证信息 表3 请求Body参数 参数 是否必选 参数类型 描述 projectID 是 String 项目id vpcID 是 String 虚拟私有云id,必须位于上述项目中 subnetID 是 String 子网的网络id,必须位于上述虚拟私有云中
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证调用请求。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。
身份认证与访问 UCS支持IAM与Kubernetes的角色访问控制(RBAC)的精细的权限管理,实现UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下: UCS服务资源权限:是基于IA
“* 3”表示有3个Pod。 当舰队或集群处于启用中的状态时,请避免在该舰队或集群上执行任何操作。在启用过程中执行操作可能会影响启用的成功。 操作步骤 登录UCS控制台,在左侧导航栏中选择“策略中心”。 单击页面中的“启用”按钮,弹出“启用策略管理功能”对话框。 在下拉列表中选择容器舰队或集群,单击“确定”,返回主页面。
String 身份认证信息 响应参数 无 请求示例 启用容器舰队联邦 POST https://ucs.myhuaweicloud.com/v1/clustergroups/{clustergroupid}/federations 响应示例 无 状态码 状态码 描述 201 启用容器舰队联邦成功
管理本地集群网络 Cilium概述 使用L4负载均衡-MetalLB 使用L7负载均衡Ingress-nginx 父主题: 管理本地集群
此漏洞允许恶意攻击者发起针对HTTP/2 服务器的DDoS攻击,使用 HEADERS 和 RST_STREAM发送一组HTTP请求,并重复此模式以在目标 HTTP/2 服务器上生成大量流量。通过在单个连接中打包多个HEADERS和RST_STREAM帧,显著提升每秒请求量,提升服务器上的CPU利用率,从
本地集群是由UCS提供的、运行在您的数据中心基础设施之上的Kubernetes集群。您只需要准备好相关物理资源,安装Kubernetes软件以及接入UCS的过程完全交给华为云来处理。 本地集群兼容多种底层基础设施,支持部署在裸金属服务器和VMware等虚拟化Iaas上,支持容器网络与底层网络打通,支持
Cilium的eBPF 技术通过在Linux内核层面实时监控网络流量,实现了高效的安全数据包交换。该技术在网络功能虚拟化、容器网络和边缘计算等场景中都有广泛应用,能够帮助企业提升网络性能和安全性,为云原生应用提供更好的基础设施支持。 基本功能 为容器提供网络互通:Cilium通过为每个
r,通过在每个Pod独立的网络命名空间设置iptables规则,将应用服务的出入流量重定向到Sidecar的Envoy进程上,由Envoy进行流量路由。 图1 sidecar-proxy node-proxy 网格代理将会被安装在添加到该网格的每个集群的每个节点上,通过在每个节点
伙伴云集群管理流程 接入网络模式 对于伙伴云集群,各集群提供商或本地数据中心对于网络入方向的端口规则有差异,防止特定端口外的入站通信。因此UCS使用集群网络代理的连接方式,无需在防火墙上启用任何入方向端口,仅通过集群代理程序的方式在出方向与UCS服务建立会话。 伙伴云集群接入网络的方法有两种,具有不同的优点:
载选择器Selector选择目标负载。认证的规则通过JWTRule来描述,定义如何匹配JWT令牌上的认证信息。 创建服务授权 支持YAML创建服务授权。 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“服务授权”,进入服务授权详情页。
IAM用户配置UCS服务权限 应用场景 UCS在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对租户下的IAM用户设置不同的UCS资源权限,结合权限策略和舰队设计,可实现企业不同部门或项目之间的权限隔离。 例如,某公司同时推进两个项目组,每个项目组中有多名成员,权限分配如图1
ASM服务提供了一个透明的分布式安全层,并提供了底层安全的通信通道,管理服务通信的认证、授权和加密,还提供了实例到实例、服务到服务的通信安全。 开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 安全功能主要分为对端认证、请求认证和服务授权,以确保服务间通信的可靠性。 父主题: 服务安全
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
