检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
工作负载弹性伸缩 工作负载伸缩原理 创建HPA策略 创建CronHPA定时策略 创建CustomedHPA策略 创建VPA策略 管理工作负载弹性伸缩策略 父主题: 弹性伸缩
存储管理-Flexvolume(已弃用) 存储Flexvolume概述 1.15集群如何从Flexvolume存储类型迁移到CSI Everest存储类型 云硬盘存储卷 极速文件存储卷 对象存储卷 文件存储卷
DNS DNS概述 工作负载DNS配置说明 使用CoreDNS实现自定义域名解析 使用NodeLocal DNSCache提升DNS性能 父主题: 网络
安全性是华为云与您的共同责任,如图1所示。 华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的 IaaS、PaaS 和 SaaS 类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服
开启“获取客户端IP”开关。 图1 开启开关 更新服务所关联的网关 登录CCE控制台,单击集群名称进入集群,在左侧选择“服务发现”。 在“服务发现”页面,切换至istio-system命名空间,并更新服务所关联的网关服务。 将istio-system命名空间下自动生成的Service改为节点级别。
在左侧导航栏中选择“服务”,在右上角单击“创建服务”。 设置集群内访问参数。 Service名称:自定义服务名称,可与工作负载名称保持一致。 访问类型:选择“DNAT网关”。 命名空间:工作负载所在命名空间。 服务亲和:详情请参见服务亲和(externalTrafficPolicy)。 集群级别:集群下所有节点的
您创建更精简、更安全的容器镜像,同时优化开发和部署流程。 使用SWR镜像服务 容器镜像服务(SoftWare Repository for Container,简称SWR)是一种支持镜像全生命周期管理的服务,提供简单易用、安全可靠的镜像管理功能,包括镜像的上传、下载、删除等。 S
2 (fixed in v1.12.3) 漏洞修复方案 综合以上分析,使用华为云CCE服务时不必过于担心,因为: CCE服务创建的集群默认关闭匿名用户访问权限。 CCE服务创建的集群没有使用聚合API。 华为云容器引擎已完成1.11以上版本Kubernetes集群的在线补丁修复,针对低于v1
9),这些漏洞与最大分段大小(MSS)和TCP选择性确认(SACK)功能相关,攻击者可远程发送特殊构造的攻击包造成拒绝服务攻击,导致服务器不可用或崩溃。 华为云CCE团队已经紧急修复Linux内核SACK漏洞,并已发布解决方案。 参考链接: https://www.suse.com/support/kb/doc/
击整集群。 华为云CCE容器服务: CCE容器服务创建的Kubernetes集群属于单租户专属,不存在跨租户共享,影响范围较小,对于多用户场景需要关注。 当前CCE采用华为优化的Docker容器,其中RUNC采用静态编译,目前公开披露的攻击方法无法成功入侵。 华为云CCI容器实例服务:
建和管理服务器、不用担心服务器的运行状态(服务器是否在工作等),只需动态申请应用需要的资源,把服务器留给专门的维护人员管理和维护,进而专注于应用开发,提升应用开发效率、节约企业IT成本。传统上使用Kubernetes运行容器,首先需要创建运行容器的Kubernetes服务器集群,然后再创建容器负载。
证书来源:选择“ELB服务器证书”。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 SNI:选择对应的SNI证书,SNI证书中需要包含域名信息。 如果您没有可选择的证书,可前往ELB服务创建,详情请参见创建证书。
如何上传我的镜像到CCE中使用? 镜像的管理是由容器镜像服务(SoftWare Repository)提供的,当前容器镜像服务提供如下上传镜像的方法: 客户端上传镜像 页面上传镜像 如您需要将Harbor镜像仓库平滑地迁移到容器镜像服务,请参考跨云Harbor同步镜像至华为云SWR。 父主题: 镜像仓库
负载均衡器配置:后端服务器(组)配置 会话保持模式 监听器的会话保持类型 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.session-affinity-mode HTTP_COOKIE、APP_COOKIE
#替换为您的目标服务名称 servicePort: <your_service_port> #替换为您的目标服务端口 创建Ingress。 kubectl create -f ingress-test.yaml 回显如下,表示Ingress服务已创建。 ingress/ingress-test
NodePort )”。 服务亲和: 集群级别:集群下所有节点的IP+访问端口均可以访问到此服务关联的负载,服务访问会因路由跳转导致一定性能损失,且无法获取到客户端源IP。 节点级别:只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载,服务访问没有因路由跳转导致的性能损失,且可以获取到客户端源IP。
前端协议:为Ingress配置HTTPS协议的后端服务需选择“HTTPS”。 对外端口:ELB监听器的端口,HTTPS协议的端口默认为443。 证书来源:选择“ELB服务器证书”。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 后端协议:选择“HTTPS”。
群密钥信息的风险 。 华为云CCE提供的Dashboard插件已将对应镜像升级到v1.10.1版本,不受Kubernetes Dashboard漏洞CVE-2018-18264影响。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 华为云修复时间 Access Validation
类型的节点上。 实例间发现服务配置 Headless Service用于解决StatefulSet内Pod互相访问的问题,Headless Service给每个Pod提供固定的访问域名。具体请参见Headless Service。 服务配置(可选) 服务(Service)可为Po
加权轮询算法:根据后端服务器的权重,按顺序依次将请求分发给不同的服务器。它用相应的权重表示服务器的处理性能,按照权重的高低以及轮询方式将请求分配给各服务器,相同权重的服务器处理相同数目的连接数。常用于短连接服务,例如HTTP等服务。 加权最少连接:最少连接是通过当前活跃的连接数来估计服务器负载情