检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Secret与SSL证书共用同一个配额。 建议用户对上传的SSL证书进行加密处理。 SSL证书介绍 SSL证书就是遵守SSL(Secure Socket Layer)协议,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。服务器通过安装SSL证书可以实现
加密存储的资源对象,您可以将认证信息、证书、私钥等保存在密钥中,在容器启动时以环境变量加载到容器中,或以文件方式挂载到容器中。 Secret与SSL证书共用同一个配额。 建议用户对上传的Secret进行加密处理。 创建Secret 登录云容器实例控制台,单击左侧导航栏的“配置中心
中下载的访问密钥,访问密钥中的ak/sk需进行手动base64编码。 使用如下命令,将secret中data的ak/sk字段替换为base64编码后的子用户ak/sk。 kubectl edit secret -n $上传密钥的命名空间 longaksk -oyaml 验证 创建
障。 云容器实例支持上传SSL证书,在使用HTTPS访问时,云容器实例将SSL证书自动安装到七层负载均衡器上,实现数据传输加密。详细信息请参见SSL证书。 Secret Secret是Kubernetes中一种加密存储的资源对象,用户可以将认证信息、证书、私钥等保存在密钥中,在容器启动时以环境变量等方式加载到容器中。
(可选)准备SSL证书 云容器实例支持使用HTTPS访问负载,在创建负载时,您可以使用自己的SSL证书。 SSL证书分为权威证书和自签名证书。权威证书由权威的数字证书认证机构签发,您可向第三方证书代理商购买,使用权威证书的Web网站,默认客户端都是信任的。自签名证书是由用户自己颁
在Volume中引用Secret,就是通过文件的方式直接将Secret的每条数据填入Volume,每条数据是一个文件,键就是文件名,键值就是文件内容。 如下示例中,创建一个名为vol-secret的Volume,这个Volume引用名为“mysecret”的Secret,再将Volume挂载到容器的“/tmp”路
负载,公网域名需要您自行购买,并将域名解析指向所选的ELB实例弹性公网IP。 证书(选择HTTPS协议时必填):SSL证书的导入方法请参见SSL证书。 ELB端口:选择使用的ELB访问的具体协议和端口。 负载端口协议:访问负载的通信协议,可选择TCP或UDP,如果ELB协议选择为
Pod规格计算方式 Pod规格的计算步骤如下: Pod 包含的所有 Init 容器上定义的任何特定资源的约束值 (limit) 或 请求值 (request) 的最大值,作为 Pod 有效初始 request/limit。 Pod 对资源的有效 limit/request ,是取如下两项的较大者:
protocol 用于与代理通信的协议。 开启SSL认证必选 ssl rdkafka.ssl.certificate.location SSL公钥路径 开启SSL认证必选 ${sandbox_volume_${VOLUME_NAME}}/some.cert rdkafka.ssl.key.location
配置管理 使用ConfigMap 使用Secret SSL证书
CI服务均不受本次漏洞的影响,无需进行处理。 漏洞详情 Kubernetes官方发布安全漏洞(CVE-2020-8558),Kubernetes节点的设置允许相邻主机绕过本地主机边界进行访问。 Kubernetes集群节点上如果有绑定在127.0.0.1上的服务,则该服务可以被同
使用Service方式访问:该方式适合CCI中同一个命名空间中的负载相互访问。 使用私网ELB访问:该方式适合云服务内部资源(云容器实例以外的资源,如ECS等)且与负载在同一个VPC内互相访问,另外在同一个VPC不同命名空间的负载也可以选择此种方式。通过内网域名或ELB的“IP:Por
权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。这是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数
不允许删除CCI的权限,控制他们对CCI资源的使用范围。 如果您的云账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用CCI服务的其它功能。 IAM是云平台提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。 关
安装完成后,您可以在“插件管理 > 插件实例”中看到已安装的插件,如图。 图2 coredns插件安装成功 为CoreDNS配置存根域 集群管理员可以修改CoreDNS Corefile的ConfigMap以更改服务发现的工作方式。使用插件proxy可对CoreDNS的存根域进行配置。 如果集群管理员有一个位于10
Pod是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器(container)、存储资源(volume)、一个独立的网络IP以及管理控制容器运行方式的策略选项。 Pod使用主要分为两种方式: Pod中运行一个容器。这是Kubernetes最常见的用法,您可以将Pod视为单个封装的容器,但
简介 对于使用CCE集群和CCI的使用场景,用户可以按需将工作负载调度到CCE集群节点或者对接CCI的虚拟节点,本文详细介绍如何将CCE集群的工作负载调度到CCI上。 bursting插件当前提供两种方式管理CCE集群的pod,使其能够调度到CCI: 方式一:通过配置labels控制pod调度到CCI
# 上传的SSL证书的名称 路由到多个服务 Ingress可以同时路由到多个服务,配置如下所示。 当访问“http://foo.bar.com/foo”时,访问的是“s1:80”后端。 当访问“http://foo.bar.com/bar”时,访问的是“s2:80”后端。
CCI当前认证鉴权是在Kubernetes的角色访问控制(RBAC)与统一身份认证服务(IAM)的能力基础上,提供的基于IAM的细粒度权限控制和IAM Token认证,同时支持命名空间级别及命名空间以下资源的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 命名空间权限:是基于Kubernetes
*配置项名称 新建的ConfigMap名称。 请输入以小写字母或数字开头,小写字母、数字、中划线(-)、点(.)组成(其中两点不能相连,点不能与中划线相连),小写字母或数字结尾的1到253字符的字符串 描述 ConfigMap的描述信息。 配置项数据 ConfigMap存储的配置数据。其
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
