检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
k8spspvolumetypes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: volumes:数组 作用 约束PodSecurityPolicy中的“volumes”字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,paramete
k8spsphostfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedHostPaths: readOnly: 布尔值 pathPrefix: 字符串 作用 约束PodSecurityPolicy中的“hostPath”字段的参数。
k8sdisallowedtags 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: tags:字符串数组 exemptImages:字符串数组 作用 约束容器镜像tag。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,pararmeters中表示不允许容器镜像tag为latest。
k8sdisallowanonymous 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:RoleBinding、ClusterRoleBinding 参数: allowedRoles:字符串数组 作用 不允许将白名单以外的ClusterRole和Role关联到system:anonymous
设置容器健康检查 操作场景 健康检查是指容器运行过程中,根据用户需要,定时检查容器健康状况。若不配置健康检查,如果容器内应用程序异常,Pod将无法感知,也不会自动重启去恢复。最终导致虽然Pod状态显示正常,但Pod中的应用程序异常的情况。 Kubernetes提供了两种健康检查的探针:
流量策略概述 流量策略要解决的问题类似如下: 动态修改服务间访问的负载均衡策略,比如配置一致性哈希将流量转发到特定的服务实例上; 同一个服务有两个版本在线,将一部分流量切到某个版本上; 服务保护,如限制并发连接数、限制请求数、隔离有故障的服务实例等; 动态修改服务中的内容,或者模拟一个服务运行故障等。
基于条件的分流 ASM服务可以基于不同的条件将流量路由到不同的版本。 控制台更新基于条件的分流 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务中心”下的“网格服务”,进入服务列表。 单击服务名,进入服务详情页。 选择“
ranges: min_replicas: 整型 max_replicas: 整型 作用 要求具有“spec.replicas”字段的对象(Deployments、ReplicaSets等)在定义的范围内。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters定义范围为3到50。
基于权重的分流 ASM能够提供基于权重的流量控制,根据设定的权重值将流量分发给指定的版本。 控制台更新基于权重的分流 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务中心”下的“网格服务”,进入服务列表。 单击服务名,进入服务详情页。
PC子网网段不能与IDC中已使用的网络网段重叠,否则将无法接入集群,例如,IDC中已使用的VPC子网为192.168.1.0/24,那么华为云VPC中不能使用192.168.1.0/24这个子网。 网络连通可以选用如下两种方案: 虚拟专用网络(VPN)方案:请参见通过VPN连接云下数据中心与云上VPC。
有安全风险的工作负载配置示例 工作负载的容器镜像中默认WORKDIR或启动命令包含 /proc/self/fd/<num>。 可通过以下命令查看容器镜像元数据: docker运行时执行:docker inspect <镜像ID> containerd运行时执行:crictl inspecti
GRPC检查可以为GRPC应用程序配置启动、活动和就绪探针,而无需暴露任何HTTP端点,也不需要可执行文件。Kubernetes可以通过GRPC连接到工作负载并查询其状态。 图4 GRPC检查 使用GRPC检查时,您的应用需支持GRPC健康检查协议。 与HTTP和TCP探针类似,如果配置错误,都会被认
本地IDC集群迁移上云流程 UCS容器迁移支持将本地IDC自建的Kubernetes集群应用迁移到UCS华为云集群或本地集群,实现应用程序的云端部署和运维管理。迁移流程如图1所示。 图1 迁移流程 主要包含四个步骤: 集群评估 在这个阶段,您将根据源集群的现状来评估适合迁移的目标
k8spspselinuxv2 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedSELinuxOptions:对象数组,包含level、role、type、user四个字符串对象 exemptImages:字符串数组 作用 约束Pod定义SELinux配置的允许列表。
k8spspprocmount 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 procMount:字符串 作用 约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例
k8spspapparmor 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedProfiles:数组 exemptImages:字符串数组 作用 约束AppArmor字段列表。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,para
k8sblockloadbalancer 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数:无 作用 不允许Service为LoadBalancer类型。 策略实例示例 apiVersion: constraints.gatekeeper.sh/v1beta1
k8sblockendpointeditdefaultrole 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:ClusterRole 参数:无 作用 默认情况下,许多Kubernetes都预定义了一个名为system:aggregate-to-edit的ClusterR
头域控制 开启头域控制,可以灵活增加、修改和删除指定HTTP头域,非侵入方式管理请求内容。只支持路由上的头域操作,暂不支持对于特定后端的头域操作。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService
请求超时 开启请求超时,服务访问超时系统会自动处理,快速失败,避免资源锁定和请求卡顿。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: my-productpage-rule
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
