检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
GRPC检查可以为GRPC应用程序配置启动、活动和就绪探针,而无需暴露任何HTTP端点,也不需要可执行文件。Kubernetes可以通过GRPC连接到工作负载并查询其状态。 图4 GRPC检查 使用GRPC检查时,您的应用需支持GRPC健康检查协议。 与HTTP和TCP探针类似,如果配置错误,都会被认
有安全风险的工作负载配置示例 工作负载的容器镜像中默认WORKDIR或启动命令包含 /proc/self/fd/<num>。 可通过以下命令查看容器镜像元数据: docker运行时执行:docker inspect <镜像ID> containerd运行时执行:crictl inspecti
已购买资源包,为什么仍然产生按需计费? 请按表1识别产生按需计费的原因,并重新选择正确的资源包或保证账户中的余额充足。 表1 排查思路 可能原因 处理措施 购买套餐包中集群类型与实际接入的集群类型不一致 购买所接入集群类型对应的套餐包 购买套餐包中集群规模小于实际接入的集群规模
GPU虚拟化概述 UCS On Premises GPU采用xGPU虚拟化技术,能够动态对GPU设备显存与算力进行划分,单个GPU卡最多虚拟化成20个GPU虚拟设备。相对于静态分配来说,虚拟化的方案更加灵活,最大程度保证业务稳定的前提下,可以完全由用户定义使用的GPU数量,提高GPU利用率。
1.18版本特性 支持Istio 1.18.7版本 支持v1.25、v1.27、v1.28、v1.29 CCE Turbo集群版本 支持v1.25、v1.27、v1.28、v1.29 CCE集群版本 支持 Kubernetes Gateway API 详细内容请参阅:https://istio
NPU节点标签 创建NPU节点后,安装huawei-npu插件,需要给节点添加标签“accelerator/huawei-npu”,标签值可为空。 添加NPU节点标签 依次单击“本地集群>节点管理>选择节点>标签与污点管理”。 选择NPU节点,添加标签“accelerator/huawei-npu”,标签值可为空。
Cilium概述 为什么需要Cilium Cilium是一种高性能、高可靠性的容器网络解决方案,它通过eBPF技术在Linux内核层面实现网络和安全通信。它支持多种传输层协议,例如TCP、UDP和HTTP,并提供了多种安全特性,例如应用层访问控制和服务网格支持。Cilium还支持
k8spsphostnamespace 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数:无 作用 限制PodSecurityPolicy中的“hostPID”和“hostIPC”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion:
k8spspforbiddensysctls 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedSysctls:数组 forbiddenSysctls:数组 作用 约束PodSecurityPolicy中的“sysctls”字段不能使用的name。
k8scontainerratios 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数: ratio:字符串 cpuRatio:字符串 exemptImages:字符串数组 作用 限制服务externalIP仅为允许的IP地址列表。 策略实例示例 服务
k8scontainerrequests 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: cpu:字符串 memory:字符串 exemptImages:字符串数组 作用 限制CPU和内存的Request必须设置且小于配置的最大值。 策略实例示例 示例配置了CPU和内存的最大Request。
k8scontainerlimits 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: cpu:字符串 memory:字符串 exemptImages:字符串数组 作用 限制容器必须设置CPU和内存Limit,并且小于设定的最大值。 策略实例示例 示例展示了
k8sblockwildcardingress 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Ingress 参数:无 作用 禁止ingress配置空白或通配符类型的hostname。 策略实例示例 示例展示了该策略定义的生效类型。 apiVersion: constraints
本地IDC集群迁移上云流程 UCS容器迁移支持将本地IDC自建的Kubernetes集群应用迁移到UCS华为云集群或本地集群,实现应用程序的云端部署和运维管理。迁移流程如图1所示。 图1 迁移流程 主要包含四个步骤: 集群评估 在这个阶段,您将根据源集群的现状来评估适合迁移的目标
头域控制 开启头域控制,可以灵活增加、修改和删除指定HTTP头域,非侵入方式管理请求内容。只支持路由上的头域操作,暂不支持对于特定后端的头域操作。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService
k8spspselinuxv2 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedSELinuxOptions:对象数组,包含level、role、type、user四个字符串对象 exemptImages:字符串数组 作用 约束Pod定义SELinux配置的允许列表。
k8spspprocmount 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 procMount:字符串 作用 约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例
k8spspapparmor 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedProfiles:数组 exemptImages:字符串数组 作用 约束AppArmor字段列表。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,para
k8sblockloadbalancer 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数:无 作用 不允许Service为LoadBalancer类型。 策略实例示例 apiVersion: constraints.gatekeeper.sh/v1beta1
k8sblockendpointeditdefaultrole 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:ClusterRole 参数:无 作用 默认情况下,许多Kubernetes都预定义了一个名为system:aggregate-to-edit的ClusterR
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
