检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
注册伙伴云集群(私网接入) 私网连接方式是通过云专线(DC)或虚拟专用网络(VPN)服务将云下网络与云上虚拟私有云(VPC)连通,并利用VPC终端节点通过内网与UCS服务建立连接,具有高速、低时延、安全的优势。
前提条件 准备一个云上虚拟私有云(VPC),并将集群的第三方云厂商网络环境与该VPC连通,具体可以选用如下两种方案: 虚拟专用网络(VPN)方案:具体操作请参见通过VPN连接云下数据中心与云上VPC。
示例:使用策略中心实现Kubernetes资源合规性治理 假设您是一家大型企业的平台工程师,负责整个基础设施环境的安全策略配置和管理,确保企业多个团队使用集群资源的合规性。
出于安全原因,浏览器会限制从脚本发起的跨域HTTP请求。通过跨域资源共享CORS机制可允许Web应用服务器进行跨域访问控制,使跨域数据传输安全进行。
数据中心IDC访问华为云上各服务需要在与数据中心互通的VPC中创建VPCEP。需要在华为云终端节点页面分别创建DNS、SWR、OBS、UCS的终端节点: 创建DNS终端节点 在“服务列表”中,选择“网络 > VPC终端节点 VPCEP”,进入终端节点页面。
k8spspallowedusers 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages: 字符串数组 runAsUser: rule: 字符串 ranges: - min: 整型 max: 整型 runAsGroup
k8spspseccomp 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedLocalhostFiles:数组 allowedProfiles:数组 exemptImages:字符串数组 作用 约束PodSecurityPolicy上的“seccomp.security.alpha.kubernetes.io
多云统一协同 构建多地多中心的金融数字化业务架构,实现跨云跨数据中心的统一治理。 建议方案 图1 金融行业场景方案 父主题: 应用场景
本地集群使用云专线/VPN上报日志 步骤一:云日志服务VPC终端节点授权 在导航栏单击“工单>新建工单”。 在“我遇到的问题所属产品/服务”的输入框中输入LTS,单击“搜索” 问题类型选择“其他问题”,新建工单。 输入问题描述,选择联系方式,并提交。 问题描述内容建议:云日志服务VPC
k8spspcapabilities 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedCapabilities:数组 exemptImages:字符串数组 requiredDropCapabilities:数组 作用 限制PodSecurityPolicy
具备网络安全检测能力:Cilium支持通过集成第三方的网络安全检测服务,如Snort等,来进行网络流量分析和检测。 自动进行容器安全策略管理:Cilium通过基于Kubernetes 的自定义资源定义(CRD)机制,为每个容器自动创建安全策略,保障容器的安全。
k8spspflexvolumes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedFlexVolumes:数组 作用 约束PodSecurityPolicy中的allowedFlexVolumes字段类型。
k8spspreadonlyrootfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“readOnlyRootFilesystem”字段。
k8spsphostfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedHostPaths: readOnly: 布尔值 pathPrefix: 字符串 作用 约束PodSecurityPolicy中的“hostPath
k8spspforbiddensysctls 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedSysctls:数组 forbiddenSysctls:数组 作用 约束PodSecurityPolicy中的“sysctls”字段不能使用的name
k8spspselinuxv2 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedSELinuxOptions:对象数组,包含level、role、type、user四个字符串对象 exemptImages:字符串数组 作用 约束Pod定义SELinux
k8spsphostnetworkingports 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages: 字符串数组 hostNetwork: max: 整型 min: 整型 作用 约束PodSecurityPolicy中的“
k8spspallowprivilegeescalationcontainer 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“allowPrivilegeEscalation
云专线/VPN接入:通过云专线(DC)或虚拟专用网络(VPN)服务将云下网络与云上虚拟私有云(VPC)连通,并利用VPC终端节点通过内网与容器智能分析建立连接,具有高速、低时延、安全的优势。详情见本地集群使用云专线/VPN上报日志。
k8spspfsgroup 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: rule: 字符串,支持MayRunAs、MustRunAs和RunAsAny ranges max: 整型 min: 整型 作用 控制PodSecurityPolicy中的
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
