检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
k8spspapparmor 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedProfiles:数组 exemptImages:字符串数组 作用 约束AppArmor字段列表。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters
网格代理 代理模式概述 sidecar-proxy 网格代理将会被安装在网格中每个Pod的Sidecar,通过在每个Pod独立的网络命名空间设置iptables规则,将应用服务的出入流量重定向到Sidecar的Envoy进程上,由Envoy进行流量路由。 图1 sidecar-proxy
k8spspvolumetypes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: volumes:数组 作用 约束PodSecurityPolicy中的“volumes”字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters
容器组 容器组(Pod)是Kubernetes中最小的可部署单元。一个Pod(容器组)包含了一个应用程序容器(某些情况下是多个容器)、存储资源、一个唯一的网络IP地址、以及一些确定容器该如何运行的选项。Pod容器组代表了Kubernetes中一个独立的应用程序运行实例,该实例可能由单个容器或者几个紧耦合在一起的容器组成
约束与限制 本小节主要为您介绍华为云UCS使用过程中的一些限制。 Kubernetes版本约束 接入UCS服务的Kubernetes集群版本必须在1.19至1.31之间。 区域限制 集群通过私网接入UCS时,需要通过云专线(DC)或虚拟专用网络(VPN)服务将云下网络与云上虚拟私有云
本地集群概述 本地集群是由UCS提供的、运行在您的数据中心基础设施之上的Kubernetes集群。您只需要准备好相关物理资源,安装Kubernetes软件以及接入UCS的过程完全交给华为云来处理。 本地集群兼容多种底层基础设施,支持部署在裸金属服务器和VMware等虚拟化Iaas上
如何添加第三方域名? 问题描述 域名在第三方域名注册商处注册,需要使用UCS进行流量管理,此时可通过添加域名至华为云云解析服务(DNS)来解决,UCS流量管理控制台将自动获取已添加解析的域名。 步骤一:添加域名 通过第三方域名注册商注册的域名,需要通过“创建公网域名”操作添加至云解析服务
伙伴云集群概述 伙伴云集群的管理流程如图1所示,即获取KubeConfig文件后手动添加至UCS控制台,并在集群中部署Agent代理。 图1 伙伴云集群管理流程 接入网络模式 对于伙伴云集群,各集群提供商或本地数据中心对于网络入方向的端口规则有差异,防止特定端口外的入站通信。因此UCS
查看集群内节点情况 如果您需要监控节点的资源使用情况,可以前往容器洞察中的节点页面查看。该页面提供了指定集群下所有节点的综合信息,以及单个节点的详细监控数据,包括CPU/内存使用率、网络流入/流出速率、磁盘读/写IO等。 功能入口 登录UCS控制台。 在左侧导航栏中选择“容器智能分析
注册本地集群 本小节指导您将本地集群注册至UCS。 约束与限制 仅华为云账号且具备UCS FullAccess权限的用户可进行集群注册的操作。 前提条件 已在UCS控制台申请本地集群试用。 UCS集群配额充足。 节点/tmp目录需要预留20GB空间。 根据安装本地集群确保待执行机检查项已满足
开启多集群健康监控 您可以使用UCS的容器智能分析能力为集群开启监控,以实时监控与守护集群的健康状态。 本小节将指导您如何快速为附着集群开启监控。 前提条件 准备一个云上虚拟私有云(VPC),并将集群的第三方云厂商网络环境与该VPC连通,具体可以选用如下两种方案: 虚拟专用网络(VPN
CORS 当一个资源向该资源所在服务器的不同的域发起请求时,就会产生一个跨域的HTTP请求。出于安全原因,浏览器会限制从脚本发起的跨域HTTP请求。通过跨域资源共享CORS机制可允许Web应用服务器进行跨域访问控制,使跨域数据传输安全进行。 YAML设置如下: apiVersion
下载联邦kubeconfig 功能介绍 舰队开通联邦并且创建网络连接之后,可以使用此接口下载联邦的kubeconfig URI POST /v1/clustergroups/{clustergroupid}/kubeconfig 表1 路径参数 参数 是否必选 参数类型 描述 clustergroupid
数据规划 在AWS基础设施上构建多云集群时,将自动在AWS控制台创建以下资源,请确保资源配额足够: 表1 资源数量 资源类型 EC2 NAT VPC 子网 路由表 互联网网关 弹性IP 安全组 网络ACL ELB 网络接口 存储卷 数量 3台 3个 1个 6个 7个 1个 3个 5
示例:使用策略中心实现Kubernetes资源合规性治理 假设您是一家大型企业的平台工程师,负责整个基础设施环境的安全策略配置和管理,确保企业多个团队使用集群资源的合规性。利用UCS策略中心,您可以: 创建统一的策略实例:使用UCS策略中心创建一个统一的策略实例,包含所有团队需要遵循的安全和合规规定
镜像仓库 UCS深度整合了华为云容器镜像服务(SWR)能力,支持镜像全生命周期管理,为您提供简单易用、安全可靠的镜像管理功能,帮助您快速部署容器化服务。 通过使用容器镜像服务,您无需自建和维护镜像仓库,即可享有云上的镜像安全托管及高效分发服务,获得容器上云的顺畅体验。 产品功能 镜像全生命周期管理
附着集群概述 附着集群指满足CNCF(Cloud Native Computing Foundation)标准的第三方Kubernetes集群,如AWS(EKS)、GCP(GKE)以及自建的Kubernetes集群。 附着集群的管理流程如图1所示。 图1 附着集群管理流程 接入网络模式
k8spspallowedusers 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages: 字符串数组 runAsUser: rule: 字符串 ranges: - min: 整型 max: 整型 runAsGroup
舰队或集群关联权限异常怎么办? 问题描述 在舰队或未加入舰队的集群关联权限过程中,可能会因为集群接入异常而导致权限关联异常。当这种情况发生时,舰队或集群的“关联权限”页面会显示详细的权限关联异常事件。请先排查并修复集群中出现的异常,然后单击“重试”按钮重新关联权限策略。 排查思路
k8spspseccomp 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedLocalhostFiles:数组 allowedProfiles:数组 exemptImages:字符串数组 作用 约束PodSecurityPolicy上的“seccomp.security.alpha.kubernetes.io
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
