检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
ader 通常情况下,NGINX会剥离后端服务器的Server头部信息,也就是服务器向客户端发送的标识信息。如设置为true,则NGINX将允许后端服务器的Server头部信息直接传递给客户端。从安全角度来看,最好将其关闭来避免泄露服务器类型及版本的信息。 关闭 允许标头中带下划线
解析外部域名很慢或超时,如何优化配置? 工作负载的容器内的resolv.conf文件,示例如下: 其中: nameserver:DNS服务器的IP地址,此处为coredns的ClusterIP。 search:域名的搜索列表,此处为Kubernetes的常用后缀。 ndots:“
如何驱逐节点上的所有Pod? 您可使用kubectl drain命令从节点安全地逐出所有Pod。 默认情况下,kubectl drain命令会保留某些系统级Pod不被驱逐,例如everest-csi-driver。 使用kubectl连接集群。 查看集群中的节点。 kubectl
单击已创建的对等连接名称,添加路由。 单击“添加路由表”,在vpc-X的路由表中,添加vpc-A的网段,即172.16.0.0/16。 同时勾选“添加另一端VPC的路由”,在vpc-A的路由表中,添加vpc-X的网段,即192.168.0.0/16。 图2 添加路由示例 单击“确定”。
systemd属性注入漏洞公告(CVE-2024-3154) 业界安全研究人员披露runc systemd属性注入漏洞(CVE-024-3154),攻击者可将恶意的systemd属性(如:ExecStartPre、ExecStart、ExecReload)注入Pod注解中,进而在宿主机中执行任意操作。
17版本集群停止维护公告 集群版本公告 2022/11/29 19 ServiceAccount Token安全性提升说明 产品变更公告 2022/11/24 20 Kubernetes安全漏洞公告(CVE-2022-3172) 漏洞公告 2022/09/23 21 Linux Kernel
0当前最大可支持2000个ECS节点,10万个Pod。 容器IP地址管理 云原生网络2.0下的BMS节点和ECS节点分别使用的是弹性网卡和辅助弹性网卡: Pod的IP地址从配置给容器网络的VPC子网上直接分配,无需为节点分配一个单独的小网段。 ECS节点添加到集群中,先绑定用于承载
CCI)作为一种虚拟的kubelet用来连接Kubernetes集群和其他平台的API。Bursting的主要场景是将Kubernetes API扩展到无服务器的容器平台(如CCI)。 基于该插件,支持用户在短时高负载场景下,将部署在云容器引擎CCE上的无状态负载(Deployment)、有状态负
参数说明 本示例规划 集群 *集群类型 CCE集群:支持虚拟机节点。基于高性能网络模型提供全方位、多场景和安全稳定的容器运行环境。 CCE Turbo集群:基于云原生基础设施构建的云原生2.0容器引擎服务,具备软硬协同、网络无损、安全可靠和调度智能的优势,为用户提供一站式、高性价比的全新容器服务体验。支持裸金属节点。
String 当前上下文,若存在publicIp(虚拟机弹性IP)时为 external; 若不存在publicIp为 internal。 表4 Clusters 参数 参数类型 描述 name String 集群名字。 若不存在publicIp(虚拟机弹性IP),则集群列表的集群数量为1,
游DNS服务器通信。 NodeLocal DNSCache采用TCP协议与CoreDNS进行通信,CoreDNS会根据请求来源使用的协议与上游DNS服务器进行通信。当使用了NodeLocal DNSCache时,访问上游DNS服务器时会使用TCP协议,而云上DNS服务器对TCP协
0及以上版本。 管理监控采集任务 开启默认关闭的采集任务、添加基础免费指标之外的指标后,若您已对接AOM,AOM服务会按量收取费用。具体请参考价格详情。 登录CCE控制台,单击集群名称进入集群详情页。 在左侧导航栏中选择“配置中心”,切换至“监控运维配置”页签。 修改“采集配置”。 监控采集任
idecar的注入,并提供了sidecar原地升级的能力。 应用安全防护:OpenKruise可以保护您的Kubernetes资源不受级联删除机制的干扰。 高效应用运维能力:OpenKruise提供了很多高级的运维能力来帮助您更好地管理应用,例如使用ImagePullJob在任意
使用KMS进行Secret落盘加密 华为云数据加密服务(DEW)为您提供易用、高安全性的密钥管理服务(Key Management Service),您可以使用KMS密钥对CCE中存储的Kubernetes Secret对象进行信封加密,为应用程序的敏感数据提供安全保护。 当前仅CCE Standard和Turb
点端口才可以访问此服务关联的负载,服务访问没有因路由跳转导致的性能损失,且可以获取到客户端源IP。 选择器:添加标签,Service根据标签选择Pod,填写后单击“确认添加”。也可以引用已有工作负载的标签,单击“引用负载标签”,在弹出的窗口中选择负载,然后单击“确定”。 IPv6
AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 To
执行授权范围内的操作。这种方式可以确保不同用户之间的隔离和安全性,同时也方便了管理和授权。但该凭证的有效时间一般为固定值,当持有该凭证的员工离职或已授权的凭证疑似泄露等场景发生时,需要手动吊销集群访问凭证,以确保集群安全。 吊销集群访问凭证的存在两类场景: 子用户(非管理员):支持吊销自身的集群访问凭证。
、长期备份等场景。归档存储安全、持久且成本极低,可以用来替代磁带库。为了保持成本低廉,数据取回时间可能长达数分钟到数小时不等。 使用说明 标准接口:具备标准Http Restful API接口,用户必须通过编程或第三方工具访问对象存储。 数据共享:服务器、嵌入式设备、IOT设备等
在工作负载中可以单独配置日志采集策略,此策略需要使用ICAgent。 在CCE中创建工作负载时,在配置容器信息时可以设置容器日志。 单击添加日志策略。 以nginx为例,不同工作负载根据实际情况配置。 图1 添加日志策略 存储类型有“主机路径”和“容器路径”两种类型可供选择: 表1 配置日志策略 参数 参数说明 存储类型
关闭/开启升级 无状态工作负载可以进行关闭/开启升级操作,仅无状态工作负载可用。 标签管理 标签是以key/value键值对的形式附加在工作负载上的。添加标签后,可通过标签对工作负载进行管理和选择。任务或定时任务无法使用标签管理功能。 删除 若工作负载无需再使用,您可以将工作负载或任务删除。