检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
监控风险安全 容器洞察提供基于Kubernetes原生类型的容器监控能力,全面监控集群的健康状态和负荷程度。 支持集群、节点、工作负载的资源全景。 支持节点的资源占用、工作负载的资源消耗。 展示近一小时的CPU/内存指标。 关于UCS监控风险安全的详细介绍,请参见容器洞察章节。 父主题:
基础软件规划 本地集群节点的操作系统、内核版本等基础软件规划需要符合表1中的要求。 表1 基础软件规划 系统架构 系统类型 网络模型 操作系统版本 内核版本限制 x86 Ubuntu 22.04 Cilium 检查命令:cat /etc/lsb-release DISTRIB_DESCRIPTION="Ubuntu
基础软件规划 节点的操作系统、内核版本等基础软件需要符合表1中的版本要求。 表1 基础软件规划 系统架构 系统类型 网络模型支持 操作系统版本 内核版本限制 x86 Ubuntu 20.04 Cilium 检查命令:cat /etc/lsb-release DISTRIB_DESCRIPTION="Ubuntu
服务安全 概述 对端认证 请求认证 服务授权 父主题: 服务网格
安全 责任共担 身份认证与访问 审计与日志 监控风险安全 认证证书
6) 漏洞详情 runC是一个基于OCI标准实现的一个轻量级容器运行工具,是Docker、Containerd、Kubernetes等容器软件的核心基础组件。近日,runC社区发布最新版本,修复了一处高危级别的容器逃逸漏洞(CVE-2024-21626)。由于内部文件描述符泄漏,
O/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另外,华为云还提供了以下销售许可证及软件著作权证书,供用户下载和参考。具体请查看合规资质证书。
安装前检查 节点软件更新与升级要求 请关闭节点软件自动更新,请勿进行docker安装和containerd版本升级。禁用Ubuntu软件自动更新可参考Ubuntu Enable Automatic Updates Unattended Upgrades。 检查OS系统语言 安装本
审计与日志 审计 云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。
使用工作负载Identity安全访问云服务 应用场景 工作负载Identity允许集群中的工作负载模拟IAM用户来访问云服务,从而无需直接使用IAM账号的 AK/SK 等信息,降低安全风险。 本文档介绍如何在UCS中使用工作负载Identity。 方案流程 使用工作负载Identity的流程如图1
创建服务授权 支持YAML创建服务授权。 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“服务授权”,进入服务授权详情页。 单击右上角“YAML创建”,弹出服务授权YAML创建界面。 设置如下:满足特定条件的请求访问才会
和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题: 安全
ASM服务提供了一个透明的分布式安全层,并提供了底层安全的通信通道,管理服务通信的认证、授权和加密,还提供了实例到实例、服务到服务的通信安全。 开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 安全功能主要分为对端认证、请求认证和服务授权,以确保服务间通信的可靠性。 父主题: 服务安全
创建请求认证 支持YAML创建请求认证。 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“请求认证”,进入请求认证详情页。 单击右上角“YAML创建”,弹出请求认证YAML创建界面。 为命名空间下的服务访问,校验请求中的认证信息。
bernetes资源对象的权限(如工作负载、任务、服务等Kubernetes原生资源)。 更多权限管理介绍,详见权限管理章节。 父主题: 安全
可以控制对目标工作负载上双向认证的模式。 创建对端认证 支持YAML创建对端认证。 登录UCS控制台,进入网格。 在左侧导航栏,单击“服务安全”下的“对端认证”,进入对端认证详情页。 单击右上角“YAML创建”,弹出对端认证YAML创建界面。 为服务开启双向认证,该服务使用双向认
概述 应用程序升级面临最大挑战是新旧业务切换,将软件从测试的最后阶段带到生产环境,同时要保证系统不间断提供服务。如果直接将某版本上线发布给全部用户,一旦遇到线上事故(或BUG),对用户的影响极大,解决问题周期较长,甚至有时不得不回滚到前一版本,严重影响了用户体验。 灰度发布,是版
注册附着集群(私网接入) 位于本地数据中心和第三方云上的附着集群通过公网接入UCS存在一定的安全风险,用户需要稳定安全的集群接入方式,此时可以使用私网接入的方式将集群纳入UCS进行管理。 私网连接方式是通过云专线(DC)或虚拟专用网络(VPN)服务将云下网络与云上虚拟私有云(VP
fo源代码来做创建配置集合的示例。 为了可以更快的、更稳定的持续地交付软件、减少后续维护工作,所以将podinfo的源代码放入GitHub仓库,并通过创建配置集合的方式部署到集群中,通过GitOps能力实现软件自动化部署,具体请参考操作步骤。 创建podinfo源代码仓时,请先注
本地集群概述 本地集群是由UCS提供的、运行在您的数据中心基础设施之上的Kubernetes集群。您只需要准备好相关物理资源,安装Kubernetes软件以及接入UCS的过程完全交给华为云来处理。 本地集群兼容多种底层基础设施,支持部署在裸金属服务器和VMware等虚拟化Iaas上,支持容器
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
