检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用用户进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。
的其他角色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要
一般情况下,建议就近选择靠近您或者您的目标用户的区域,这样可以减少网络时延,提高访问速度。 资源的价格 不同区域的资源价格可能有差异,请参见华为云服务价格详情。 如何选择可用区? 是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区内。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。关于策略的语法结构及示例,请参见IAM权限管理说明。 权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,
此处创建的ELB需要与负载所在命名空间在同一个VPC内。 CCI暂时不支持独享型负载均衡,建议您创建共享型ELB实例。 负载端口配置 协议:访问负载的通信协议,可选择TCP或UDP。 访问端口:负载提供的访问端口,即为服务端口,可自定义。 容器端口:容器监听的端口,负载访问端口映射
概述 在云容器实例中,您可以使用多种方法创建负载,包括使用云容器实例的Console控制台界面、调用API部署应用,那这些方式的使用有什么不同的地方呢?这些方法又与直接运行Docker run命令运行容器有什么区别呢? 本文将通过运行一个Wordpress + MySQL的博客为例,
同一个Pod实例中的不同容器如果监听了相同的端口,则会导致端口冲突,Pod可能会启动失败。例如在Pod中添加了一个nginx镜像容器,启动了80端口,如果该Pod中另一个http服务的镜像也启动80端口,那么这个Pod就会出现端口冲突。 我的镜像:展示了您上传到容器镜像服务的镜像。 如您
Pod是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器(container)、存储资源(volume)、一个独立的网络IP以及管理控制容器运行方式的策略选项。 Pod使用主要分为两种方式: Pod中运行一个容器。这是Kubernetes最常见的用法,您可以将Pod视为单个封装的容器,但
安全容器这个概念主要与普通容器进行比较的。 和普通容器相比,它最主要的区别是每个容器(准确地说是pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。因为云容器实例采用的是共享多租集群,因此容器的安全隔离比用户独立拥有私有Kubernetes集群有更严格的要求。通过安全
上游域名服务器:解析除集群内服务域名及自定义域名之外的域名地址,格式为一个或一组DNS IP地址,例如"8.8.8.8","8.8.4.4"。 安装2.5.10及以上版本的coredns插件时,还可配置如下参数: 日志输出选项:您可根据业务需要,灵活配置需要打印的域名解析日志类别,便于发现问题,例如“输出
member到生效的时间。 minReadySeconds的时长需要小于sleep时长,保证旧的容器停止并退出之前,新的容器已经准备就绪。 配置完成后,对应用进行升级和弹性扩缩容的打流测试。 准备一台集群外的客户端节点,预置检测脚本detection_script.sh,内容如下,其中100
CI服务均不受本次漏洞的影响,无需进行处理。 漏洞详情 Kubernetes官方发布安全漏洞(CVE-2020-8558),Kubernetes节点的设置允许相邻主机绕过本地主机边界进行访问。 Kubernetes集群节点上如果有绑定在127.0.0.1上的服务,则该服务可以被同
客户如果需要在容器内获取POD的基础信息,可以通过kubernetes中的Downward API注入环境变量的方式实现。本操作实践展示如何在Deployment和POD的定义中增加环境变量配置,获取Pod的namespace、name、uid、IP、Region和AZ。 CCI创建Pod并分配节点的同时,Pod
对于管理员创建IAM用户接口,您可以从接口的请求部分看到所需的请求参数及参数说明,将消息体加入后的请求如下所示,其中加粗的字段需要根据实际值填写。 accountid为IAM用户所属的账号ID。 username为要创建的IAM用户名。 email为IAM用户的邮箱。 **********为IAM用户的登录密码。
事件二:重新启动容器失败 负载网络访问 云容器实例通过将Kubernetes网络和华为云VPC深度集成,提供了稳定高性能的容器网络,能够满足多种复杂场景下工作负载间的互相访问。 负载访问可以分为如下几种场景:内网访问、公网访问、从容器访问公网。 支持区域:全部 网络访问概述 内网访问 公网访问 从容器访问公网
环境设置 登录云容器实例控制台 登录云容器实例控制台,并授予云容器实例访问其他云服务的权限。 登录管理控制台。 单击管理控制台左上角的选择区域。 云容器实例当前仅支持在“华东-上海一”、“华东-上海二”、“华北-北京四”、“华南-广州”、“西南-贵阳一”区域使用。 云容器实例CCI不支持在子项目创建资源请求。
攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知,但是如果DNS返回了A(IPv4)和AAAA(IPv6)记录,许多HTTP库都会尝试IPv6进行连接,如果再回退到IPv4,这为攻击者提供了响应的机会。 参考链接:https://github.com/kube
您可以使用容器镜像服务中的镜像创建负载。 虚拟私有云 虚拟私有云(Virtual Private Cloud,VPC)是用户在云平台上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以申请弹性带宽和弹性IP搭建业务系统。 您创建命
CCI上传镜像时提示需要认证怎么办? 当前在CCI中上传镜像使用的是“SWR容器镜像服务”。 使用SWR上传镜像,您需要先获取访问权限,请参见下图。如果需了解上传镜像详细步骤,请参见客户端上传镜像。 图1 上传镜像 父主题: 镜像仓库类
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
