检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
请您仔细阅读此参数说明。 单击“编辑”按钮,对参数进行修改,不同服务支持修改的参数可能有差异,请根据实际页面操作。 单击“提交”按钮,将会自动下发请求完成实例配置更新。 通过Yaml修改 登录UCS控制台,在左侧导航栏中选择“云原生服务中心”,单击“服务实例”页签。 单击需要查询的实例名称,进入实例的基本信息页面。
根据界面提示,输入账号和密码,成功进入Linux环境中。 在云容器引擎控制台中,选择对端集群,进入集群详情页,单击左侧导航栏“工作负载>容器组”,进入容器Pod详情页。 在3中,使用Linux命令查看网络是否连通。对端集群PodIP为4中的PodIP地址。。 在对端集群中执行相同的操作。 父主题: UCS服务网格
- docker/default 符合策略实例的资源定义 示例中的container.seccomp.security.alpha.kubernetes.io/nginx注解的value在设定的值列表中,符合策略定义。 apiVersion: v1 kind: Pod metadata:
svirt_sandbox_file_t user: system_u 符合策略实例的资源定义 示例中seLinuxOptions参数均在参数列表中,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: nginx-selinux-allowed
出于安全考虑,集群联邦apiserver不提供公网访问地址。UCS通过在您提供的VPC和子网中创建终端节点,并将该终端节点连接到集群联邦apiserver,来打通访问联邦的网络。对于每个集群联邦,UCS在同一VPC中仅会创建一个终端节点。如果VPC中已有连接该联邦apiserver的终端节点,则会进行复用。 当
在左侧导航栏中选择“容器智能分析”,在“容器洞察 > 集群总览”页面的集群统计列表中,单击集群名称,选择“事件”。 查看集群内事件详情 事件页面分为两个页签:“概览”和“事件”。在“概览”页签中,您可以查看集群中事件的总数、趋势和排序信息;在“事件”页签中,可以查看事件的详细信息,包括事件名称、类型、内容,以及触发该事件的资源的相关信息等。
作用 限制PodSecurityPolicy中的“allowedCapabilities”和“requiredDropCapabilities”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中定义了allowedCapabilities和r
集群节点故障、Pod重启导致加入失败,由于karmadactl join命令不幂等,失败后再次执行会报错。 解决方案 请将集群从联邦中移出,然后执行kubectl get cluster命令,校验集群联邦中是否存在该集群。 若存在,请执行kubectl edit cluster clusterName命令,编
Standard集群、CCE Turbo集群或CCE Turbo分布式集群,并且集群状态为“运行中”。 操作步骤 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 单击华为云集群选项卡中的“注册集群”按钮。 勾选需要注册的CCE Standard集群或CCE Turbo集群,并选择一个舰队,单击“确定”。
”。 单击本地集群选项卡中的“注册集群”按钮。 参考表1填写待添加集群的基础信息,其中带“*”的参数为必填参数。 表1 注册集群基础信息配置 参数 参数说明 集群名称* 输入集群的自定义名称,需以小写字母开头,由小写字母、数字、中划线(-)组成,且不能以中划线(-)结尾。 所属区域*
整型 作用 约束PodSecurityPolicy中的runAsUser、runAsGroup、supplementalGroups和fsGroup字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中定义了对runAsUser、runAsGroup
访问日志 服务网格提供了访问日志查询能力,可对网格中数据面所有Proxy的AccessLog进行采集。本文介绍如何查看采集的访问日志。 网格需已“启用访问日志”能力,如何开启请参考启用网格。 操作步骤 登录UCS控制台,单击左侧导航栏中的“服务网格”,进入服务网格列表页。 单击服务网格名称,进入服务网格详情页。
登录UCS控制台,单击左侧导航栏中的“容器舰队”,进入容器舰队列表页。 在目标舰队栏中单击“添加集群”,或单击右上角的按钮。 您也可以单击舰队名称进入舰队详情页,在“容器集群”页面单击右上角“添加集群”。 图1 为舰队添加集群 勾选一个或多个已有集群。一个集群只能加入一个舰队,因此列表中显示的集群均为未加入舰队的集群。
修改源镜像权限,将镜像中WORKDIR设置为/proc/self/fd/<num>,以实现在容器运行后访问节点文件系统。 判断方法 该漏洞范围涉及中国站本地集群和国际站多云集群类型,同时集群中工作负载配置或容器镜像具备如下特征时,可能存在风险: 工作负载中容器进程的WORKDIR为
{Region}-dev.myhuaweicloud.com/{uri},其中有三个参数。 表1 URL中的参数说明 参数 描述 {fleetname} 舰队名称,可在控制台内舰队基本信息中获取。 {Region} 服务应用区域的URL,可以通过终端节点(Endpoint)获取。 示例:
authorization.k8s.io"] kinds: ["ClusterRole"] 符合策略实例的资源定义 示例中ClusterRole的生效对象中没有endpoints,符合策略实例。 apiVersion: rbac.authorization.k8s.io/v1 kind:
User和system:unauthenticated Group。 策略实例示例 示例展示了ClusterRole和Role资源仅能关联到allowedRoles中定义的Role。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sDisallowAnonymous
日志查看:可直接在“日志中心”页面,“控制面组件日志”页签中查看,选择日志策略配置的日志流名称,即可查看上报到云日志服务(LTS)的日志。 图2 查看日志 开启华为云集群控制面日志 创建集群时开启 登录云容器引擎(CCE)控制台。 在控制台上方导航栏,选择集群,单击“购买”。 在“插件选择”页面中,勾选“云原生日志采集”
ter节点采集到您账号的LTS日志服务的日志流中。具体操作,请参见收集控制面组件日志和收集Kubernetes审计日志。 支持收集集群Kubernetes事件,将Kubernetes事件从集群内采集到您账号的LTS日志服务的日志流中,以便对Kubernetes事件进行持久化存储和
该小节指导仅适用于UCS本地集群安装Ingress-nginx。 安装Ingress-nginx 登录UCS控制台。 左侧导航栏内选择“云原生服务中心”,在“服务目录中”中搜索Ingress-nginx开源插件,单击进入插件详情。 图1 搜索Ingress-nginx 订阅Ingress-nginx后,单击“
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
