检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
附着集群 附着集群接入失败怎么办? 私网接入的集群误删除VPCEP后如何恢复? proxy-agent部署失败怎么办?
基础软件规划 本地集群节点的操作系统、内核版本等基础软件规划需要符合表1中的要求。 表1 基础软件规划 系统架构 系统类型 网络模型 操作系统版本 内核版本限制 x86 Ubuntu 22.04 Cilium 检查命令:cat /etc/lsb-release DISTRIB_DESCRIPTION="Ubuntu
查询支持接入UCS的集群版本列表 功能介绍 查询支持接入UCS的集群版本列表 URI GET /v1/config/registeredclusterversions 请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String
各厂商对传统云原生都进行了一定程度上的定制,而在多元化场景下,为避免厂商绑定的情况发生,用户往往不会统一使用一个厂商的产品。因此用户在进行各区域集群管理时会有不一致的用户体验,这也会造成一定的学习成本。 多云统一体验 华为云UCS提供多云统一接入管理,弱化集群的厂牌限制,全面覆盖中心区域、
攻击者具有集群工作负载的创建或更新权限。 集群中工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限。 漏洞影响 满足上述漏洞利用条件时,容器进程可能逃逸到节点,导致节点信息泄露或执行恶意命令。 典型漏洞利用场景 攻击者具有集群工作负载的创建或更新权限,创建工作负载时设置容器进程的WORKD
其他云服务的角色或策略结合使用,以达到精细化授权的目的。管理员在为IAM用户授权时,应该遵循权限最小化的安全实践原则,表2列举了UCS各功能管理员、操作、只读权限所需要的最小权限。 授予用户IAM系统策略的详细操作请参见UCS服务资源权限;授予用户UCS RBAC权限的详细操作请
cs组件在默认配置下,不采集K8s资源的所有labels和annotation。如需采集则需要在启动参数中修改采集配置,并同时检查名称为kube-state-metrics的ServiceMonitor中采集白名单是否添加相应指标。 操作步骤 执行以下命令打开kube-state
yCloudProviderControlPlane、AWSIAMManagedPolicyControllers 父主题: 安装多云集群的业务规划
基础软件规划 节点的操作系统、内核版本等基础软件需要符合表1中的版本要求。 表1 基础软件规划 系统架构 系统类型 网络模型支持 操作系统版本 内核版本限制 x86 Ubuntu 20.04 Cilium 检查命令:cat /etc/lsb-release DISTRIB_DESCRIPTION="Ubuntu
本地集群如何扩容容器智能分析插件的存储磁盘? 问题描述 当容器智能分析插件(kube-prometheus-stack)所依赖的PVC存储中的磁盘写满时,prometheus-server-0 Pod的日志标准输出会出现“no space left on device”报错,此时
UCS服务的计费方式如何由按需改为包年/包月? 当前UCS支持“按需计费”和“包年/包月”两种计费方式。当您希望以包年/包月套餐包的优惠价格使用UCS时,只需按照所接入UCS的集群类型、集群规模购买对应的套餐包,即可由按需计费模式转变为包年/包月计费模式。 父主题: 计费相关
单击新创建VPCEP的ID,查看自动分配的节点IP。 图3 VPCEP详情 登录接入异常集群的Master节点。 编辑proxy-agent中配置的IP信息。 kubectl edit deploy -n kube-system proxy-agent 修改hostAliases字段下的IP:
st1的Gateway资源。因为未指定监听器名称,此处会尝试引用该Gateway的所有监听器。对于路径前缀为/的请求,将30%流量路由到同命名空间下的nginx-v1服务的5566端口,将70%流量路由到同命名空间下的nginx-v2服务的5566端口。 验证基于流量比例的路由生效
将已接入联邦且状态异常的集群移出舰队失败怎么办? 问题背景 舰队已开通集群联邦,对在舰队中运行状态异常的集群进行移出舰队操作,移出失败。 解决方案 再次单击目标集群右上角的,重新尝试将其移出舰队。 若重试后仍移出失败,请提交工单,联系技术支持人员进行处理。 父主题: 容器舰队
参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“readOnlyRootFilesystem”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints.gatekeeper.sh/v1beta1
allowedGroups:数组 allowedUsers:数组 作用 拒绝白名单外的资源更新ServiceAccount。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,pararmeters中定义了允许的组列表allowedGroups和允许的用户列表allowedUsers。 # IMPORTANT:
exemptImages:字符串数组 作用 约束Pod定义SELinux配置的允许列表。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中的allowedSELinuxOptions定义了参数的允许列表。 apiVersion: constraints.gatekeeper
procMount:字符串 作用 约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中指定了procMount的值为Default。 apiVersion: constraints
parameters: allowedProfiles: - runtime/default 符合策略实例的资源定义 示例中apparmor的值在上述定义的允许范围内,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: n
- "ingress-nginx-private" - "ingress-nginx-public" 符合策略实例的资源定义 Servie类型非LoadBalancer,符合策略实例。 apiVersion: v1 kind: Service metadata:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
