检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权限和授权项 如果您需要对您所拥有的云容器引擎(CCE)进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,简称IAM),如果账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用CCE服务的其它功能。
CCE权限概述 CCE权限管理是在统一身份认证服务(IAM)与Kubernetes的角色访问控制(RBAC)的能力基础上,打造的细粒度权限管理功能,支持基于IAM的细粒度权限控制和IAM Token认证,支持集群级别、命名空间级别的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。
权限管控 允许使用特权容器 是否允许在pod中配置使用特权容器 参数名 取值范围 默认值 是否允许修改 作用范围 allow-privileged false:不允许 true:允许 true 允许 CCE Standard/CCE Turbo 是否允许在pod中配置使用特权容器
OpenSSH远程代码执行漏洞公告(CVE-2024-6387) OpenSSH是一个基于SSH协议的安全网络通信工具,通过加密所有流量以消除窃听、连接劫持和其他攻击。此外,OpenSSH 还提供大量安全隧道功能、多种身份验证方法和复杂的配置选项,是远程服务器管理和安全数据通信的必备工具。
Kubernetes kubelet和kube-proxy授权问题漏洞公告(CVE-2020-8558) 漏洞详情 Kubernetes官方发布安全公告,其核心组件kube-proxy存在主机边界绕过漏洞(CVE-2020-8558)。利用漏洞攻击者可能通过同一局域网下的容器,或
吊销集群访问凭证 在多租户场景下,CCE会为每个用户生成一个独立的集群访问凭证(kubeconfig或X509证书),该凭证包含了用户身份及授权信息,以便其可以连接到相应的集群并执行授权范围内的操作。这种方式可以确保不同用户之间的隔离和安全性,同时也方便了管理和授权。但该凭证的有
创建节点池 操作场景 本章介绍了如何添加运行节点池以及对节点池执行操作。要了解节点池的工作原理,请参阅节点池概述。 操作步骤 登录CCE控制台。 单击集群名称进入集群,在左侧选择“节点管理”,在右侧选择“节点池”页签。 单击右上角“创建节点池”。 基础配置 表1 基础配置 参数 参数说明
ELB Ingress和Nginx Ingress对比 CCE服务的集群支持使用Nginx Ingress、ELB Ingress对接7层的Loadbalancer。Nginx Ingress为精选开源插件,我们会定期同步社区的特性和Bugfix,ELB Ingress为全托管模
创建节点 前提条件 已创建至少一个集群。 您需要新建一个密钥对,用于远程登录节点时的身份认证。 若使用密码登录节点,请跳过此操作。创建方法请参见创建密钥对。 约束与限制 创建节点过程中依赖OBS等周边服务,因此节点所在子网的DNS配置不可修改。 集群开启IPv4/IPv6双栈时,
通过负载均衡配置实现会话保持 概念 会话保持可以确保用户在访问应用时的连续性和一致性。如果在客户端和服务器之间部署了负载均衡设备,很有可能这多个连接会被转发至不同的服务器进行处理。开启会话保持后,负载均衡会把来自同一客户端的访问请求持续分发到同一台后端云服务器上进行处理。 例如在
更有针对性,更加及时。 本方案的关键点是获取ELB的指标数据并上报到Prometheus,再将Prometheus中的数据转换成HPA能够识别的metric数据,然后HPA根据metric数据进行弹性伸缩。 基于ELB监控指标的弹性伸缩具体实施方案如下所示: 开发一个Prometheus
采集容器日志。 CCE 节点故障检测 可选插件。勾选后自动安装CCE节点故障检测插件,安装后可为集群提供节点故障检测、隔离能力,帮助您及时识别节点问题。 步骤四:插件配置 单击“下一步:插件配置”,配置插件。 基础功能 参数 说明 CCE容器网络插件 (Yangtse CNI) 不支持配置。
io/ingress.class: "nginx"。如果集群中安装了多套NGINX Ingress控制器,需将nginx替换为自定义的控制器名称,用于识别Ingress对接的控制器实例。 独享型ELB规格必须支持网络型(TCP/UDP),且网络类型必须支持私网(有私有IP地址)。 运行Nginx
d、Service、Deployment等)上的键值对。标签的主要作用是为这些对象提供额外的、语义化的元数据,以便于用户和系统能够更容易地识别、组织和管理资源。 标签选择器(LabelSelector) 在Kubernetes中,标签选择器是一种强大的机制,极大地简化了资源管理和
kubeStateMetrics (负载名称:kube-state-metrics) 将Prometheus的metrics数据格式转换成K8s API接口能识别的格式。kube-state-metrics组件在默认配置下,不采集K8s资源的所有labels和annotation。如需采集,请参考采
everest-csi-controller通过端口3225暴露Prometheus metrics指标。您可以自建Prometheus采集器识别并通过http://{{everest-csi-controllerPodIP}}:3225/metrics路径获取everest-csi-controller相关指标。
是否使用包周期集群删除参数预置模式(仅对包周期集群生效)。 使用该参数,集群不执行真正的删除,仅将本次请求的全部query参数都预置到集群数据库中,用于包周期集群退订时识别用户要删除的资源。 允许重复执行,覆盖预置的删除参数。 约束限制: 需要和其他删除选项参数一起使用,未指定的参数,则使用默认值 取值范围:
关于节点压力驱逐详情请参考节点压力驱逐。 须知: 驱逐配置项相关配置请谨慎修改,不合理的配置可能会导致节点频繁触发驱逐或节点已过载但未触发驱逐。 kubelet可识别以下两个特定的文件系统标识符: nodefs:节点的主要文件系统,用于本地磁盘卷、不受内存支持的 emptyDir 卷、日志存储等。 例如,nodefs
IAM用户无法使用调用API 问题现象 使用IAM用户调用API时,出现以下报错: "code":403,"message":"This user only supports console access, not programmatic access." 该错误表示IAM用户没有编程访问权限。
示例:某部门权限设计及配置 概述 随着容器技术的快速发展,原有的分布式任务调度模式正在被基于Kubernetes的技术架构所取代。云容器引擎(Cloud Container Engine,简称CCE)是高度可扩展的、高性能的企业级Kubernetes集群,支持社区原生应用和工具。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
