检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
MCS提供跨集群服务发现与访问能力,因此需要在集群联邦中提前部署可用的工作负载(Deployment)和服务(Service)。若您无可用工作负载和服务,请参考无状态负载和集群内访问(ClusterIP)创建。 设置集群网络 请参照设置集群网络对集群间网络互通进行检查与设置。 若创建MCS实例时,出现报错"policy
持开启跨VPC访问的开关。 MCS为跨集群后端工作负载提供统一入口和四层网络访问,因此需要在联邦中提前部署可用的工作负载(Deployment)和服务(Service)。若您无可用工作负载和服务,请参考无状态负载和集群内访问(ClusterIP)创建。 设置集群为underlay
分页获取列表时,起始偏移量,默认为0 order_by 否 String 分页获取列表时,排序参数,支持 create_at 和 update_at order 否 String 分页获取列表时,排序方向,支持 desc 和 asc managetype 否 String 获取集群列表时,根据集群类型筛选,不传参时默认为
健康诊断将基于集群的配置和kube-prometheus-stack插件上报至AOM的指标,从集群、节点、工作负载、核心插件、外部依赖的维度出发,提供全面的集群健康状态检查。同时,该功能还基于Kubernetes集群的运维最佳实践,提供相应的诊断结果和修复建议。 约束与限制 集群版本高于v1
步骤三:为容器舰队添加集群 您需要注册或纳管集群、为集群接入网络,以便将集群加入容器舰队进行管理。 UCS支持注册华为云集群、本地集群、附着集群、多云集群和伙伴云集群,本小节将以附着集群为例,以公网接入形式指导您快速添加一个Kubernetes集群至容器舰队。 获取KubeConfig文件 登录待添加集群的Master节点。
Ingress使用弹性负载均衡作为流量入口对外提供访问,在四层负载均衡访问方式的基础上支持了URI配置,通过对应的URI将访问流量分发到对应的服务。用户可根据域名和路径对转发规则进行自定义,完成对访问流量的细粒度划分。该访问方式由公网弹性负载均衡ELB服务地址、设置的访问端口组成、定义的URI组成,例如:10
务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 图1 云审计服务 日志 Kubernetes日志可以协助您排查和诊断问题。本节介绍UCS如何通过多种方式进行Kubernetes日志管理。
注册附着集群(私网接入) 位于本地数据中心和第三方云上的附着集群通过公网接入UCS存在一定的安全风险,用户需要稳定安全的集群接入方式,此时可以使用私网接入的方式将集群纳入UCS进行管理。 私网连接方式是通过云专线(DC)或虚拟专用网络(VPN)服务将云下网络与云上虚拟私有云(VP
基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数:无 作用 限制PodSecurityPolicy中的“hostPID”和“hostIPC”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints.gatekeeper
示例:使用策略中心实现Kubernetes资源合规性治理 假设您是一家大型企业的平台工程师,负责整个基础设施环境的安全策略配置和管理,确保企业多个团队使用集群资源的合规性。利用UCS策略中心,您可以: 创建统一的策略实例:使用UCS策略中心创建一个统一的策略实例,包含所有团队需要
hostNetwork: max: 整型 min: 整型 作用 约束PodSecurityPolicy中的“hostNetwork”和“hostPorts”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中hostNetwork为true时,使用的端口必须在指定的端口范围内。
随着公司不断增加开发和生产集群的数量,确保在日益扩大的环境中创建和执行一致的配置和安全策略变得越来越具挑战性,这可能会阻碍运维效率。为了解决这个问题,UCS推出了基于OPA(Open Policy Agent)的Gatekeeper实现的策略中心功能。这一功能可以帮助您在多个集群中定义和执行一致的策略,统一资源的合规性状态。
k8spspfsgroup 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: rule: 字符串,支持MayRunAs、MustRunAs和RunAsAny ranges max: 整型 min: 整型 作用 控制PodSecurityPolicy中的“fsGroup”字段在限制范围内。
启用网格 网格的控制面完全托管,简化了用户运维负担和资源消耗,用户只需要基于网格进行服务管理即可。企业版网格支持多集群和多种基础设施的服务统一管理,包括跨集群灰度发布、服务治理、安全和拓扑。 约束与限制 应用服务网格依赖集群CoreDNS的域名解析能力,请确保集群拥有足够资源,且CoreDNS插件运行正常。
监控风险安全 容器洞察提供基于Kubernetes原生类型的容器监控能力,全面监控集群的健康状态和负荷程度。 支持集群、节点、工作负载的资源全景。 支持节点的资源占用、工作负载的资源消耗。 展示近一小时的CPU/内存指标。 关于UCS监控风险安全的详细介绍,请参见容器洞察章节。 父主题:
OS 2.0(华为云欧拉操作系统)是基于华为开源社区openEuler构建的Linux操作系统,提供云原生、高性能、安全稳定的执行环境来开发和运行应用程序,支持X86、ARM64等硬件架构。如需安装HCE OS 2.0,请提交工单,联系技术支持人员。详细了解HCE OS请参见HCE
舰队配置资源审计规则。尽管当前不支持自定义策略定义,但这些预定义的策略定义基本可以满足您在合规性和安全性方面的需求。策略定义的详细介绍请参阅策略定义库概述。 策略执行方式:包括拦截和告警两种方式。拦截表示不符合策略要求的资源将无法创建,告警表示不符合策略要求的资源仅告警提醒,仍可以正常创建。
erlay制品组织方式和HelmRelease结合valuesFrom/valuesFiles等方式的能力,满足客户差异化的配置管理诉求。 将Git仓库中最新合入的制品配置信息同步部署至多个集群中,同时对应用发布行为进行版本化管理和权限控制,提供发布回滚和版本迭代控制,并进行审计跟踪。
华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另外,华为云还提供了以下销售许可证及软件著作权证书,供用户下载和参考。具体请查看合规资质证书。 图3 销售许可证&软件著作权证书 父主题: 安全
也可以在左上角选择事件发生的时间范围,包括近1小时、近1天、近1周和自定义。 事件列表 您可以在列表中查看满足搜索条件的事件详情,包括最近发生时间、事件名称、资源类型、资源名称、事件内容、事件类型和发生次数。单击操作列的“历史事件”,在弹出的对话框中将展示当前资源类型和资源名称下的所有事件。 父主题: 容器洞察
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
