检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
云容器实例和云容器引擎有什么区别? 华为云提供高性能、高可用、高安全的企业级容器服务,通过CNCF官方认证的两种Kubernetes服务供用户选择,包括云容器引擎(CCE)与云容器实例(CCI)。 云容器引擎(Cloud Container Engine,简称CCE)提供高度可扩
问题原因: 客户仅购买了ELB服务未购买NAT网关服务,故只能从外部访问容器。购买NAT网关后,才可以从容器内部访问外部网络。 为了确保良好的网络安全环境,华为云对25端口对外发送做了限制。 解决方法: 方法一:使用NAT网关服务,该服务能够为VPC内的容器实例提供网络地址转换(Network
资源对容器完全隔离。 其他场景,推荐通过k8s原生SecurityContext中更细粒度的权限策略来控制,按需使用,保障客户容器运行环境安全可靠。 父主题: 容器工作负载类
机磁盘,每个Pod存储空间限制为CPU物理机磁盘为20G,GPU物理机磁盘为20G,如果为专属节点可根据客户需求进行调整。 为了确保数据的安全性,在创建容器时容器引擎会从devicemapper获取虚拟化盘,其他容器引擎无法访问。 父主题: 存储管理类
Management,简称IAM),通过IAM,您可以: 根据企业的业务组织,在您的云账号中,给企业中不同职能部门的员工创建IAM用户,让员工拥有唯一安全凭证,并使用CCI资源。 根据企业用户的职能,设置不同的访问权限,以达到用户之间的权限隔离。 将CCI资源委托给更专业、高效的其他云账号或
核。 支持的容器操作系统类型 仅支持Linux容器。 CCI实例的网络类型 仅支持VPC网络。 Kubernetes应用限制 基于华为云的安全性带来的限制,CCI目前还不支持Kubernetes中HostPath、DaemonSet等功能,具体如下表所示。 不支持的功能 说明 推荐替代方案
DEW)是一个综合的云上数据加密服务。它提供密钥管理(KMS)、凭据管理(CSMS)、密钥对管理(KPS)、专属加密(DHSM)四个微服务,安全可靠地为您解决数据安全、密钥安全、密钥管理复杂等问题。其密钥由硬件安全模块(Hardware Security Module,HSM) 保护,并与多个华为云服务集成。您也可以借此服务开发自己的加密应用。
基本概念 云容器实例基于Kubernetes的负载模型增强了容器安全隔离、负载快速部署、弹性负载均衡、弹性扩缩容、蓝绿发布等重要能力。 云容器实例提供Kubernetes原生API,支持使用kubectl,且提供图形化控制台,让您能够拥有完整的端到端使用体验,使用云容器实例前,建议您先了解相关的基本概念。
户对精细化授权的要求,无法完全达到企业对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对CCI服务,管理员能够控制IAM
账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用用户进行日常管理工作。 用户 由账号在IAM中创建的用户,是云服务的使用人员,具有身份凭证(密码和访问密钥)。
对象存储卷 云容器实例支持将对象存储卷挂载到容器中。 对象存储服务(OBS)是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力。OBS的更多信息,请参见对象存储服务。 使用限制 待挂载的对象存储必须是按需付费,更多信息,请参见请参见对象存储计费。 请
如何设置应用的探针? 云容器实例基于Kubernetes,提供了应用存活探针和应用业务探针,您可以在创建工作负载的时候设置,具体请参见健康检查。 父主题: 容器工作负载类
弹性扩缩容。 应用高可用保障 支持多实例同时对外提供服务,保障用户业务高可靠,并提供全局负载均衡能力。 应用容器状态监控 提供容器健康状态检查和容器的运行时指标实时监控。 数据持久化存储 支持挂载网络存储卷,保障业务数据持久化存储。 父主题: 基本概念类
ce或Ingress时: 禁止指定健康检查端口,在CCE集群下,由于CCI的容器与CCE的容器在ELB注册的后端使用端口不一致,指定健康检查端口会导致部分后端健康检查异常。 跨集群使用Service对接同一个ELB的监听器时,需确认健康检查方式,避免服务访问异常。 跨CCE和CC
已配置存根域:如果配置了存根域和上游 DNS 服务器,DNS 查询将基于下面的流程对请求进行路由: 查询首先被发送到 coredns 中的 DNS 缓存层。 从缓存层,检查请求的后缀,并根据下面的情况转发到对应的 DNS 上: 具有集群后缀的名字(例如“.cluster.local”):请求被发送到 coredns。
原生支持Kubernetes API 高安全 云容器实例同时具备容器级别的启动速度和虚拟机级别的安全隔离能力,提供更好的容器体验。 原生支持Kata Container 基于Kata的内核虚拟化技术,为您提供全面的安全隔离与防护 自有硬件虚拟化加速技术,让您获得更高性能的安全容器 图1 通过Kata容器实现多租户容器强隔离
输入变量名称,选择引用类型、引用值。其中Secret引用的创建请参见使用Secret。 健康检查:健康检查是指容器运行过程中,根据您需要,定时检查容器健康状况。详细步骤请参见健康检查。 生命周期:生命周期脚本定义,在容器的生命周期的特定阶段执行调用。详细步骤请参见容器生命周期。
漏洞修复公告 修复Linux内核SACK漏洞公告 kube-proxy安全漏洞CVE-2020-8558公告 CVE-2020-13401的漏洞公告 CVE-2020-8559的漏洞公告 CVE-2020-8557的漏洞公告
什么是云容器实例? 云容器实例和云容器引擎有什么区别? 什么是环境变量? 什么是服务? 什么是mcore? 镜像、容器、工作负载的关系是什么? 什么是安全容器? 能否使用kubectl管理容器实例? CCI资源包中的核时怎么理解?
及审计日志,以便及时了解容器中应用健康状况。 常用操作 命名空间 无状态工作负载(Deployment) 容器启动命令 容器生命周期 健康检查 远程终端 负载访问 内网访问 公网访问 从容器访问公网 运维与监控 日志管理 云审计服务支持的CCI操作列表 查看云审计日志 常见问题 了解更多常见问题、案例和解决方案
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
