检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
安全容器这个概念主要与普通容器进行比较的。 和普通容器相比,它最主要的区别是每个容器(准确地说是pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。因为云容器实例采用的是共享多租集群,因此容器的安全隔离比用户独立拥有私有Kubernetes集群有更严格的要求。通过安全
Failed 未满足前提条件,服务器未满足请求者在请求中设置的其中一个前提条件。 413 Request Entity Too Large 由于请求的实体过大,服务器无法处理,因此拒绝请求。为防止客户端的连续请求,服务器可能会关闭连接。如果只是服务器暂时无法处理,则会包含一个Retry-After的响应信息。
完成后快速释放。 云容器实例提供如下特性,能够很好的支持这类场景。 高性能计算:提供高性能计算、网络和高I/O存储,满足密集计算的诉求 极速弹性:秒级资源准备与弹性,减少计算过程中的资源处理环节消耗 免运维:无需感知集群和服务器,大幅简化运维工作、降低运维成本 随启随用、按需付费
复的地址。 searches:域名查询时的DNS搜索域列表,此属性是可选的。指定后,提供的搜索域列表将合并到基于dnsPolicy生成的域名解析文件的search字段中,并删除重复的域名。Kubernetes最多允许6个搜索域。 options:DNS的配置选项,其中每个对象可以具有name
监控安全风险 通过AOM查看Pod监控数据 为使用户更好的掌握工作负载的运行状态,CCI配合AOM对其进行全方位的监控。 通过AOM界面您可监控CCI的基础资源和运行在CCI上的应用,同时在AOM界面还可查看相关的日志和告警。 更多内容,请参见监控管理。 Pod资源监控指标 CC
PB规模,具备可扩展的性能,为海量数据、高带宽型应用提供有力支持。 您可以使用弹性文件服务作为容器的持久化存储,在创建任务负载的时候挂载到容器上。 弹性云服务器 弹性云服务器(Elastic Cloud Server)是一种可随时自助获取、可弹性伸缩的云服务器,帮助用户打造可靠、安全、灵活、高效的应用环境。
由于CCI服务底层资源是多租户共享的,为了保障用户业务稳定,CCI服务底层对于磁盘IO等是有流控限制的。体现在容器内,主要影响是负载对根目录rootfs的读写、负载标准日志输出数据量都会受到一定限制。如果您的业务运行性能不达预期,可以从以下几个可能的原因进行排查: 原因一:用户业务
on中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制
无(使用http) 以上参数的值为tls的证书、私钥、CA文件所在存储卷的“卷名”和“路径”。 获取资源监控指标 配置完上述监控属性后,在能访问Pod IP的VPC内,通过执行如下命令获取Pod的监控数据。 curl $podIP:$port/metrics 其中<podIP>为Pod的IP地址,<port>为监听端口,例如curl
数据保护技术 云容器实例同时具备容器级别的启动速度和虚拟机级别的安全隔离能力,提供更好的容器体验。 原生支持Kata Container 基于Kata的内核虚拟化技术,为您提供全面的安全隔离与防护 自有硬件虚拟化加速技术,让您获得更高性能的安全容器 图1 通过Kata容器实现多租户容器强隔离
yaml。创建密钥的方法请参见使用Secret。 同一个ELB实例的同一个端口配置HTTPS时,一个监听器只支持配置一个密钥证书。如果使用两个不同的密钥证书将两个Ingress添加到同一个ELB下的同一个监听器,ELB侧实际只生效最初的证书。 域名:可选填。实际访问的域名地址,该域名
企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对CCI服务,管理员能够控制IAM用户仅能对某一类云容器实例资源进行
使用“Service”方式访问:该方式适合CCI中同一个命名空间中的负载相互访问。 使用ELB(私网)访问:该方式适合云服务内部资源(云容器实例以外的资源,如ECS等)且与负载在同一个VPC内互相访问,另外在同一个VPC不同命名空间的负载也可以选择此种方式。通过内网域名或ELB的“IP:Port”为内网提供服务,
对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。这是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多
工作负载 工作负载是在Kubernetes上运行的应用程序。无论您的工作负载是单个组件还是协同工作的多个组件,您都可以在Kubernetes上的一组Pod中运行它。在Kubernetes中,工作负载是对一组Pod的抽象模型,用于描述业务的运行载体,包括Deployment、Job、CronJob等多种类型。
“滚动升级”和“替换升级”两种方式。 滚动升级:将逐步用新版本的实例替换旧版本的实例,升级的过程中,业务流量会同时负载均衡分布到新老的实例上,因此业务不会中断。 替换升级:将先把您工作负载的老版本实例删除,再安装指定的新版本,升级过程中业务会中断。 升级负载 登录云容器实例管理控制台,左侧导航栏中选择“工作负载
未关联ELB、EIP的容器实例,因为不对公网暴露,不受该漏洞影响,无需处理。 无状态负载(Deployment):漏洞修复之后(7月11日0点之后)创建的无状态负载,不受该漏洞影响;漏洞修复之前(7月11日0点之前)创建的无状态负载,建议选择业务不受影响的时间窗口,删除并重新创建负载的Pod实例。
您可以使用NAT网关服务,该服务能够为VPC内的容器实例提供网络地址转换(Network Address Translation)服务,SNAT功能通过绑定弹性公网IP,实现私有IP向公有IP的转换,可实现VPC内的容器实例共享弹性公网IP访问Internet。其原理如图1所示。通过NAT网关的SNAT功能,即
云硬盘存储卷 为满足数据的持久化需求,云容器实例支持将云硬盘(EVS)挂载到容器中。通过云硬盘,可以将存储系统的远端文件目录挂载到容器中,数据卷中的数据将被永久保存,即使删除了容器,只是卸载了挂载数据卷,数据卷中的数据依然保存在存储系统中。 EVS目前支持普通I/O(上一代产品)、高I/O、超高I/O三种规格。
es中最常用的一种使用方式,CoreDNS的安装请参见插件管理。 CoreDNS安装成功后会成为DNS服务器,当创建Service后,CoreDNS会将Service的名称与IP记录起来,这样Pod就可以通过向CoreDNS查询Service的名称获得Service的IP地址。 访问时通过nginx
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
