检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
vi daemonSet.yaml Yaml示例如下: spec.spec.containers.lifecycle字段是指容器启动后执行设置的命令。 kind: DaemonSet apiVersion: apps/v1 metadata: name: daemonset-test
如非必须,不建议容器与宿主机共享UTS命名空间 如非必须,不建议将docker的sock文件挂载到任何容器中 容器的权限访问控制 使用容器应用时,遵循权限最小化原则,合理设置Deployment/Statefulset的securityContext: 通过配置runAsUser,指定容器使用非root用户运行。
工作负载与节点的亲和与反亲和:通过为节点添加标签,您可以使用节点亲和性将Pod调度到特定节点,或使用反亲和性避免将其调度到特定节点,具体操作详情请参见设置节点亲和调度(nodeAffinity)。 节点固有标签 节点创建出来会存在一些固有的标签,并且是无法删除的,这些标签的含义请参见表1。
参考:Jenkins对接Kubernetes集群的RBAC 前提条件 集群需要开启RBAC。 场景一:基于namespace的权限控制 新建ServiceAccount和Role,然后定义一个RoleBinding,将ServiceAccount绑定到Role # kubectl
name: default-secret 在CCE控制台也可以设置镜像拉取策略,在创建工作负载时设置“更新策略”:勾选表示总是拉取镜像(Always),不勾选则表示按需拉取镜像(IfNotPresent)。 图1 设置更新策略 建议您在制作镜像时,每次制作一个新的镜像都使用一个新
beconfig文件,kubeconfig就拥有哪个用户的信息,这样使用kubectl访问时就拥有这个用户的权限。 用户拥有的权限请参见集群权限(IAM授权)与命名空间权限(Kubernetes RBAC授权)的关系。 使用kubectl连接集群 若您需要从客户端计算机连接到Ku
与其它云服务的关系 云容器引擎需要与其他云服务协同工作,云容器引擎需要获取如下云服务资源的权限。 图1 云容器引擎与其他服务的关系示意图 云容器引擎与其他服务的关系 表1 云容器引擎与其他服务的关系 服务名称 云容器引擎与其他服务的关系 主要交互功能 弹性云服务器 ECS 在云容
完整的云容器引擎使用流程包含以下步骤: 图1 CCE使用流程 注册账号并登录CCE控制台。 使用账号登录时,默认拥有所有IAM权限。如果使用IAM子用户登录,还需授予IAM用户相应的权限才能使用CCE,具体请参见权限管理。 创建集群。 部署工作负载(应用)。 在CCE集群中部署NGINX无状态工作负载 在CCE
容器设置 在什么场景下设置工作负载生命周期中的“停止前处理”? 在什么场景下,容器会被重建? 在同一个命名空间内访问指定容器的FQDN是什么? 健康检查探针(Liveness、Readiness)偶现检查失败? 如何设置容器umask值? CCE启动实例失败时的重试机制是怎样的?
umask 并行文件系统 对象桶 0 配置文件权限的掩码。 例如,如果umask值为022,而目录最大权限为777,则设置umask后该目录权限为777 - 022 = 755,即rwxr-xr-x。 在PV中设置挂载参数 在PV中设置挂载参数可以通过mountOptions字段实
如何设置容器内的DNS策略? CCE支持通过dnsPolicy标记每个Pod配置不同的DNS策略: None:表示空的DNS设置,这种方式一般用于想要自定义DNS配置的场景,而且,往往需要和dnsConfig配合一起使用达到自定义DNS的目的。 Default:从运行所在的节点继
操作场景 本文将以CCE Standard集群为例,介绍如何通过CloudShell连接CCE集群。 权限说明 在CloudShell中使用kubectl时,kubectl的权限由登录用户的权限决定。 约束与限制 同一用户在使用CloudShell组件连接CCE集群或容器时,限制同时打开的实例上限数量为15个。
配置工作负载 安全运行时与普通运行时 设置时区同步 设置镜像拉取策略 使用第三方镜像 使用SWR企业版镜像仓库镜像 设置容器规格 设置容器生命周期 设置容器健康检查 设置环境变量 设置性能管理配置 设置工作负载升级策略 设置容忍策略 设置标签与注解 父主题: 工作负载
情请参见设置容器生命周期。 健康检查(可选):根据需求选择是否设置存活探针、就绪探针及启动探针,详情请参见设置容器健康检查。 环境变量(可选):支持通过键值对的形式为容器运行环境设置变量,可用于把外部信息传递给Pod中运行的容器,可以在应用部署后灵活修改,详情请参见设置环境变量。
添加污点容忍策略。 表1 容忍策略设置参数说明 参数名 参数描述 污点键 节点的污点键。 操作符 Equal:设置此操作符表示准确匹配指定污点键(必填)和污点值的节点。如果不填写污点值,则表示可以与所有污点键相同的污点匹配。 Exists:设置此操作符表示匹配存在指定污点键的节点
设置时区同步 创建工作负载时,支持设置容器使用节点相同的时区。您可以在创建工作负载时打开时区同步配置。 时区同步功能依赖容器中挂载的本地磁盘(HostPath),如下所示,开启时区同步后,Pod中会通过HostPath方式,将节点的“/etc/localtime”挂载到容器的“/
建议最小化用户的访问权限。 如果主账号下需要配置多个IAM用户,应合理配置子用户和命名空间的权限。 配置集群权限请参考集群权限(IAM授权)。 设置命名空间权限请参考命名空间权限(Kubernetes RBAC授权)。 配置集群命名空间资源配额限制 应限制每个命名空间能够分配的
CVE-2020-8554是Kubernetes社区发现的关于集群内网络流量劫持的安全问题。具有创建和更新Service和Pod对象权限的潜在攻击者,能够劫持集群内来自其他Pod或者节点的流量。潜在攻击者通过设置Service对象的spec.externalIPs字段,能够劫持集群内其他Pod或者节点访问该ex
在什么场景下设置工作负载生命周期中的“停止前处理”? 问题描述: 在什么场景下设置工作负载生命周期中的“停止前处理”? 问题解答: 服务的业务处理时间较长,在升级时,需要先等Pod中的业务处理完,才能kill该Pod,以保证业务不中断的场景。 父主题: 容器设置
3:[release:alpha;env:production;role:backend] 图1 标签案例 例如,设置工作负载亲和性的“key/value”值为“role/backend”,则会选择APP3进行亲和性调度,详情请参见设置工作负载亲和/反亲和调度(podAffinity/podAntiAffinity)。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
