检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
向比例。 配置域名 为应用添加域名访问时,必须确保您配置的域名已在域名服务商完成注册并备案,否则域名可能无法访问。 若您已有经过注册和备案的域名,请直接至3创建公网域名解析。 若您尚未注册域名,请先购买公网域名,并按照页面提示流程完成域名的备案、解析和相关配置。域名注册、备案流程如下。
在左侧树状导航栏,选择“公网域名”。 进入“公网域名”页面。 在“公网域名”页面新创建的域名所在行,单击“域名”列的域名名称。 “类型”为“NS”的记录集,其对应的“值”即为DNS服务器的域名。 图1 系统返回的NS类型记录集 更改域名的DNS服务器。 登录域名注册商网站,修改域名的DNS服务器为华为云DNS服务器地址:
安全 责任共担 身份认证与访问 审计与日志 监控风险安全 认证证书
服务安全 概述 对端认证 请求认证 服务授权 父主题: 服务网格
监控风险安全 容器洞察提供基于Kubernetes原生类型的容器监控能力,支持集群、节点、工作负载的资源全景,支持节点的资源占用、工作负载的资源消耗,以及近一小时的CPU/内存指标展示,全面监控集群的健康状态和负荷程度。 关于UCS监控风险安全的详细介绍,请参见容器洞察章节。 父主题:
和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
es资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下: UCS服务资源权限:是基于IAM系统策略的授权。UCS服务资源包括容器舰队、集群、联邦实例等等,管理员可以针对用户的角色(如开发、运维)进行差异化授权,精细控制他们对UCS资源的使用范围。
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。
不能在开头或末尾,单个字符串不超过63个字符,域名总长度不超过254个字符。 如果没有子域名,域名前缀部分可不填。 域名后缀部分为云解析服务(DNS)中已添加解析的公网域名。如您需要管理域名,请前往DNS控制台,具体步骤请参见公网域名管理。 调度策略:可基于访问位置和业务策略对流量进行调度,详见4。
ASM服务提供了一个透明的分布式安全层,并提供了底层安全的通信通道,管理服务通信的认证、授权和加密,还提供了实例到实例、服务到服务的通信安全。 开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 安全功能主要分为对端认证、请求认证和服务授权,以确保服务间通信的可靠性。 父主题: 服务安全
创建服务授权 支持YAML创建服务授权。 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“服务授权”,进入服务授权详情页。 单击右上角“YAML创建”,弹出服务授权YAML创建界面。 设置如下:满足特定条件的请求访问才会
创建请求认证 支持YAML创建请求认证。 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“请求认证”,进入请求认证详情页。 单击右上角“YAML创建”,弹出请求认证YAML创建界面。 为命名空间下的服务访问,校验请求中的认证信息。
使用工作负载Identity安全访问云服务 应用场景 工作负载Identity允许集群中的工作负载模拟IAM用户来访问云服务,从而无需直接使用IAM账号的 AK/SK 等信息,降低安全风险。 本文档介绍如何在UCS中使用工作负载Identity。 方案流程 使用工作负载Identity的流程如图1
可以控制对目标工作负载上双向认证的模式。 创建对端认证 支持YAML创建对端认证。 登录UCS控制台,进入网格。 在左侧导航栏,单击“服务安全”下的“对端认证”,进入对端认证详情页。 单击右上角“YAML创建”,弹出对端认证YAML创建界面。 为服务开启双向认证,该服务使用双向认
Name Indication):输入域名并选择对应的证书。SNI是TLS的扩展协议,在该协议下允许同一个IP地址和端口号下对外提供多个基于TLS的访问域名,且不同的域名可以使用不同的安全证书。 转发策略配置:请求的访问地址与转发规则匹配时(转发规则由域名、URL组成,例如:10.117
基于网格进行服务管理即可。企业版网格支持多集群和多种基础设施的服务统一管理,包括跨集群灰度发布、服务治理、安全和拓扑。 约束与限制 应用服务网格依赖集群CoreDNS的域名解析能力,请确保集群拥有足够资源,且CoreDNS插件运行正常。 配置应用指标或访问日志的前提是所绑定的容器
制台支持创建以下服务: 集群内访问(ClusterIP) 表示工作负载暴露给同一集群内其他工作负载访问的方式,可以通过“集群内部域名”访问。集群内部域名格式为“<自定义的访问方式名称>.<工作负载所在命名空间>.svc.cluster.local”,例如“nginx.default
以自动探测集群CoreDNS域名解析功能是否正常,并进行上报。 CPD会周期性地解析kubernetes.default域名,将解析结果更新到Node对象的conditions中。主CPD Pod会收集各个Node上的conditions,判断集群域名解析功能是否正常,并将该判断结果上报到至集群联邦控制面。
集群内访问(ClusterIP) 集群内访问表示工作负载暴露给同一集群内其他工作负载访问的方式,可以通过“集群内部域名”访问。集群内部域名格式为“<自定义的访问方式名称>.<工作负载所在命名空间>.svc.cluster.local”,例如“nginx.default.svc.cluster
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
