检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
存储 简介 弹性到CCI的工作负载支持多种华为云存储配置,用于满足客户多样化的存储需求。通过阅读本章用户可以: 了解弹性CCI的负载支持的存储类型。 了解弹性CCI的负载Hostpath类型的典型场景以及如何使用。 约束与限制 调度到CCI的实例的存储类型支持ConfigMap、
vileged=true)来启动容器是否支持? Intel oneAPI Toolkit运行VASP任务,为什么概率性运行失败? 容器实例被驱逐 为什么界面不显示工作负载终端? 删除工作负载后,会持续扣费。
使用限制 待挂载的云硬盘必须是按需付费,更多信息,请参见云硬盘计费。 云容器实例无法导入以下条件的磁盘:非当前可用区、状态非可用、系统盘、被CCE关联、非SCSI盘、共享盘、专属存储、冻结盘、HANA服务器专属类型盘(高IO性能优化型/超高IO时延优化型)。 云硬盘存储卷只能当一
y,即文件存储卷能够以读写模式被多个节点同时加载。 加密:“KMS加密”默认不勾选。勾选“KMS加密”后,如果未创建委托请单击“创建委托”,并配置如下参数。 目前“华北-北京四”区域支持“加密”功能。 委托名称:委托表示委托方通过创建信任关系,给被委托方授予访问其资源的权限。当“
容器:镜像(Image)和容器(Container)的关系,就像是面向对象程序设计中的类和实例一样,镜像是静态的定义,容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。 工作负载:工作负载是在 Kubernetes 上运行的应用程序。一个工作负载由一个或多个实例(Pod)组成
0容量型。 类型:文件存储类型,当前支持NFS类型。 访问模式:文件存储的访问模式,当前支持ReadWriteMany,即文件存储卷能够以读写模式被多个节点同时加载。 对于SFS 3.0多读场景,数据存在缓存的情况,会导致原数据读取延迟。如果需要实时读取数据,可为已创建的文件系统指定挂载参数。
CCI当前集群基于Kubernetes 1.15版本,容器网络基于用户VPC,任何用户无法访问节点,也无法拦截kubelet请求。因此节点没有被攻击的风险。 父主题: 漏洞修复公告
求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。例如,用户要调用接口来查询Pod,那么这个IAM用户被授予的策略中必须包含允许“CCI:namespaceSubResource:Get”的授权项,该接口才能调用成功。
CCI当前集群基于 Kubernetes 1.15 版本,容器运行时选用 Kata 安全容器,节点上 hosts 文件并未直接挂载到容器内部。因此节点没有被攻击的风险。 不同租户的业务容器完全隔离,恶意用户无法影响其他用户。 父主题: 漏洞修复公告
漏洞分析结果 CCI服务不受本次漏洞影响,原因如下: CCI当前集群基于Kubernetes 1.15版本,但未开启IPv6。所以CCI节点没有被攻击的风险。 父主题: 漏洞修复公告
] } ] } 示例2:拒绝用户删除命名空间 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予CCIFullAccess的系统策
当用户拥有CCI CommonOperations权限时,本可以创建无状态负载,但如该用户以及用户所在用户组未在目标Namespace下被赋予对应RBAC权限,则创建无状态负载会鉴权失败,即为不同类权限取交集。 示例流程 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创
涉及的权限 授权方式 适用场景 角色授权 用户-角色-权限 系统角色 系统策略 自定义策略 为主体授予角色或策略 每个用户可以根据被分配的角色相对快速地被授予相关权限,但灵活性较差,难以满足细粒度精确权限控制需求,更适用于对维护角色和授权关系工作量较小的中小企业用户。 策略授权 用户-策略
tes节点的设置允许相邻主机绕过本地主机边界进行访问。 Kubernetes集群节点上如果有绑定在127.0.0.1上的服务,则该服务可以被同一个LAN或二层网络上的主机访问,从而获取接口信息。如果绑定在端口上的服务没有设置身份验证,则会导致该服务容易受到攻击。 参考链接: https://github
accessModes为存储访问模式,支持如下3种模式: ReadWriteOnce:可以被单个节点以读/写模式挂载 ReadOnlyMany:可以被多个节点以只读模式挂载 ReadWriteMany:可以被多个节点以读/写模式挂载 storageClassName表示申请的存储类型,当前支持如下4个参数: sas:SAS(高I/O)型EVS硬盘
"fullyLabeledReplicas": 2, "observedGeneration": 1 } } 其中“containers”参数列表被新添加的内容所替换。 而使用“Strategic Merge Patch”类型操作,是添加元数据到资源对象中,并通过这些新元数据来决定各个列表是否需要被合并。
"CapAdd": [ "SYS_ADMIN" ], 这样的话容器在自动被kubelet拉起的时候就会带入一个参数。 docker run --cap-add=SYS_ADMIN 在给容器赋予SYS_ADMIN权限
container_cpu_cfs_throttled_periods_total 被限流的CPU时间周期 container_cpu_cfs_throttled_seconds_total 被限流的CPU时间(单位:秒) 文件系统/磁盘IO container_fs_inodes_free
T_PASSWORD,并填入变量,变量值为MySQL数据库的密码(需自行设置)。 单击“下一步”,配置负载信息,负载访问选择内网访问(可以被云容器实例中其他负载通过“服务名称:端口”方法),将“服务名称”定义为mysql,并指定负载访问端口3306映射到容器的3306端口(mysql镜像的默认访问端口)。
annotation key 描述 相关文档 scheduling.cci.io/managed-by-profile 标记当前pod被哪个profile资源管理。 调度负载到CCI virtual-kubelet.cci.io/burst-pod-cpu 标记弹性后规整的cpu资源。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
