检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CCI当前认证鉴权是在Kubernetes的角色访问控制(RBAC)与统一身份认证服务(IAM)的能力基础上,提供的基于IAM的细粒度权限控制和IAM Token认证,同时支持命名空间级别及命名空间以下资源的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 命名空间权限:是基于Kubernetes
为委托账号授权命名空间权限 命名空间下资源权限的授权,是基于Kubernetes RBAC能力的授权。通过权限设置可以让不同的委托账号拥有操作指定Namespace下Kubernetes资源的权限。 本章节通过简单的命名空间授权方法,将CCI服务的委托账号授予操作不同命名空间资源的权限,从而使委托账号拥有命名空间的操作权限。
对于管理员创建IAM用户接口,您可以从接口的请求部分看到所需的请求参数及参数说明,将消息体加入后的请求如下所示,其中加粗的字段需要根据实际值填写。 accountid为IAM用户所属的账号ID。 username为要创建的IAM用户名。 email为IAM用户的邮箱。 **********为IAM用户的登录密码。
如何查看虚拟私有云VPC的网段? 在“虚拟私有云”页面,可查看虚拟私有云的“名称/ID”和“VPC网段”。用户可以调整已创建的VPC或通过重新创建VPC调整网段。 图1 查看VPC网段 父主题: 网络管理类
如何设置应用的探针? 云容器实例基于Kubernetes,提供了应用存活探针和应用业务探针,您可以在创建工作负载的时候设置,具体请参见健康检查。 父主题: 容器工作负载类
权限管理 CCI权限说明 创建用户并授权使用CCI 为用户/用户组授权命名空间权限 为委托账号授权命名空间权限 CCI自定义策略 委托联邦用户管理资源 系统委托说明
不允许删除CCI的权限,控制他们对CCI资源的使用范围。 如果您的云账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用CCI服务的其它功能。 IAM是云平台提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。 关
如何设置实例(Pod)数? 创建工作负载时 创建负载的时候直接设置实例(Pod)数量。 图1 设置工作负载实例数量 工作负载创建后 在负载详情页“伸缩”部分,选择手动伸缩,单击,调整实例数量。 图2 手动伸缩 图3 调整实例数 父主题: 容器工作负载类
使用AK/SK认证时,您可以基于签名算法使用AK/SK对请求进行签名,也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 签名SDK只提供签名功能,与服务提供的SDK不同,使用时请注意。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。
如何使用云存储? 如果您使用控制台界面创建,请参见存储概述。 您还可以使用kubectl创建云存储,具体请参见使用PersistentVolumeClaim申请持久化存储。 父主题: 存储管理类
如何从公网访问容器? 负载支持绑定ELB。用户可以给负载绑定ELB实例,通过ELB的地址从外部访问容器负载。具体操作请参见公网访问。 如果您使用kubectl,您也可以参见Service和Ingress,创建Service和Ingress对象,绑定ELB。 父主题: 网络管理类
CCI如何配置DNS服务? 如果用户负载需要使用k8s内部域名解析,则需要安装coredns插件。此时pod的dnsPolicy需要设置为ClusterFirst。 在插件市场界面可以单击,将coredns插件安装在指定的namesapce下。 图1 创建插件 如果用户负载不需要
如何从容器访问公网? 您可以使用公有云平台提供的NAT网关服务。该服务能够为虚拟私有云内的容器提供网络地址转换(Network Address Translation)服务,使虚拟私有云内的容器可以共享使用弹性公网IP访问Internet。通过NAT网关的SNAT功能,可以直接访
如何处理公网无法访问负载? 公网能正常访问的前提是负载已处于运行中状态,如果您的负载处于未就绪或异常状态,公网访问将无法正常使用。 从负载开始创建到公网可以正常访问可需要1分钟到3分钟的时间,在此时间内网络路由尚未完成配置,请稍作等待。 负载创建3分钟以后仍然无法访问。在“工作负载
云容器实例的Console控制台界面、调用API部署应用,那这些方式的使用有什么不同的地方呢?这些方法又与直接运行Docker run命令运行容器有什么区别呢? 本文将通过运行一个Wordpress + MySQL的博客为例,比较这几种方法之间的异同,以利于您挑选合适的使用方法。
为了确保良好的网络安全环境,华为云对25端口对外发送做了限制。 解决方法: 方法一:使用NAT网关服务,该服务能够为VPC内的容器实例提供网络地址转换(Network Address Translation)服务,SNAT功能通过绑定弹性公网IP,实现私有IP向公有IP的转换,可实
上传密钥”。 选择本地的密钥文件,单击“确认”。 请添加csv格式的文件,且文件大小不能超过2M。若您在本地没有访问密钥,请前往“我的凭证”的访问密钥新增并下载访问密钥。 需要下载主账号的访问密钥。 在“对象存储卷”页面,单击“导入”。 从列表里选择要导入的对象存储,单击“导入”。
Dockerfile参数在云容器实例中如何使用 应用场景 如果您了解容器引擎的使用,明白定制镜像时,一般使用Dockerfile来完成。Dockerfile是一个文本文件,其内包含了一条条的指令,每一条指令构建镜像的其中一层,因此每一条指令的内容,就是描述该层应该如何构建。 本章节将介绍Doc
命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间,不同命名空间中的数据彼此隔离,使得它们既可以共享同一个集群的服务,也能够互不干扰。命名空间的一个重要的作用是充当一个虚拟的集群,用于多种工作用途,满足多用户的使用需求。 本章节将沿用创建用户并授权使用CCI中创建的IAM用户
服务名称:服务名称即Service的名称,Service是用于管理Pod访问的对象。 命名空间:工作负载所在命名空间。 关联工作负载:要添加Service的工作负载。 负载端口配置 协议:访问负载的通信协议,可选择TCP或UDP。 访问端口:负载提供的访问端口。 容器端口:容器监听的端口,负载访问端口映射到容器端口。