检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
后将这些元数据恢复到目标集群中。 约束限制 当前不支持高版本集群应用向低版本集群迁移。 前提条件 确认云原生应用依赖的服务(镜像、存储、数据库等非集群内的数据)都已经迁移完成。 确认源集群中元数据备份数据已经下载到执行k8clone的服务器上。 k8clone数据恢复原理 数据恢复的流程参考如下:
地集群)中,从而实现本地IDC集群应用的迁移上云。 建议在用户业务量小时执行备份操作。 前提条件 确认云原生应用依赖的服务(镜像、存储、数据库等非集群内的数据)都已经迁移完成。 k8clone数据备份原理 数据备份的流程参考如下: 图1 数据备份流程 k8clone备份使用方法
存为本地压缩包,然后将这些元数据恢复到目标集群中。 建议在用户业务量小时执行备份操作。 前提条件 确认云原生应用依赖的服务(镜像、存储、数据库等非集群内的数据)都已经迁移完成。 k8clone数据备份原理 数据备份的流程参考如下: 图1 数据备份流程 k8clone备份使用方法
多云集群)中,从而实现第三方云集群应用的迁移上云。 建议在用户业务量小时执行备份操作。 前提条件 确认云原生应用依赖的服务(镜像、存储、数据库等非集群内的数据)都已经迁移完成。 k8clone数据备份原理 数据备份的流程参考如下: 图1 数据备份流程 k8clone备份使用方法
UCS控制台的各项功能主要通过IAM进行权限控制,未经授权的用户访问UCS控制台中相应的页面,将出现“无访问权限”、“权限认证失败”等类似错误信息。 解决方案 管理员需要为用户授予UCS控制台各功能的权限,通过IAM系统策略(包括UCS FullAccess、UCS CommonOperations、UCS
户来访问云服务,从而无需直接使用IAM账号的 AK/SK 等信息,降低安全风险。 本文档介绍如何在UCS中使用工作负载Identity。 方案流程 使用工作负载Identity的流程如图1 使用工作负载Identity流程,具体流程如下: 前置授权。 在UCS获取本地集群私钥签发
Request forbidden. 禁止请求 UCS.00000005 500 Database operation failed. 数据库操作失败 UCS.00000006 500 Server internal error. 服务器内部错误 UCS.00000007 500
管理员账号在IAM控制台创建用户组,并授予UCS权限,例如:UCS ReadOnlyAccess。 UCS部署时不区分物理区域,为全局级服务。授权时,选择授权范围方案为“所有资源”。 创建用户并加入用户组。 在IAM控制台创建用户,并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台,验证权限(假设当前权限仅包含UCS
forbidden. 禁止请求 请确认账号权限是否满足。 UCS.00000005 500 Database operation failed. 数据库操作失败 请参考返回的message,或联系技术支持。 UCS.00000006 500 Server internal error. 服务器内部错误
noupdateserviceaccount 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:* 参数: allowedGroups:数组 allowedUsers:数组 作用 拒绝白名单外的资源更新ServiceAccount。 策略实例示例 以下策略实例展示了策略定义
k8spspseccomp 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedLocalhostFiles:数组 allowedProfiles:数组 exemptImages:字符串数组 作用 约束PodSecurityPolicy上的“seccomp
k8sallowedrepos 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: repos:字符串数组 作用 容器镜像必须以指定字符串列表中的字符串开头。 策略实例示例 以下策略实例定义容器镜像必须以“openpolicyagent/”开头。 apiVersion:
k8spspreadonlyrootfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“readOnlyRootFilesystem”字段。 策略实例示例
yaml命令删除UCS创建的SA对象。 如修改集群kubeconfig.yaml文件的server地址为集群的apiserver地址后,集群接入到UCS无法打开,解决方案请参见附着集群接入失败--排查集群kube-apiserver状态。 伙伴云集群 您需要先下载kubectl以及配置文件,拷贝到您的客户端
k8spspvolumetypes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: volumes:数组 作用 约束PodSecurityPolicy中的“volumes”字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,paramete
k8spsphostfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedHostPaths: readOnly: 布尔值 pathPrefix: 字符串 作用 约束PodSecurityPolicy中的“hostPath”字段的参数。
k8sdisallowedtags 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: tags:字符串数组 exemptImages:字符串数组 作用 约束容器镜像tag。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中表示不允许容器镜像tag为latest。
k8sdisallowanonymous 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:RoleBinding、ClusterRoleBinding 参数: allowedRoles:字符串数组 作用 不允许将白名单以外的ClusterRole和Role关联到system:anonymous
k8spspselinuxv2 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedSELinuxOptions:对象数组,包含level、role、type、user四个字符串对象 exemptImages:字符串数组 作用 约束Pod定义SELinux配置的允许列表。
k8spspprocmount 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 procMount:字符串 作用 约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
