检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
不允许删除CCI的权限,控制他们对CCI资源的使用范围。 如果您的云账号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用CCI服务的其它功能。 IAM是云平台提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。 关
使用“Service”方式访问:该方式适合CCI中同一个命名空间中的负载相互访问。 使用ELB(私网)访问:该方式适合云服务内部资源(云容器实例以外的资源,如ECS等)且与负载在同一个VPC内互相访问,另外在同一个VPC不同命名空间的负载也可以选择此种方式。通过内网域名或ELB的“IP:Port”为内网提供服务,
可以使用自己的SSL证书。 SSL证书分为权威证书和自签名证书。权威证书由权威的数字证书认证机构签发,您可向第三方证书代理商购买,使用权威证书的Web网站,默认客户端都是信任的。自签名证书是由用户自己颁发给自己的,一般可以使用openssl生成,默认客户端是不信任的,浏览器访问时
数据保护技术 云容器实例同时具备容器级别的启动速度和虚拟机级别的安全隔离能力,提供更好的容器体验。 原生支持Kata Container 基于Kata的内核虚拟化技术,为您提供全面的安全隔离与防护 自有硬件虚拟化加速技术,让您获得更高性能的安全容器 图1 通过Kata容器实现多租户容器强隔离
对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。这是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多
单击“访问配置 > 公网访问地址”所在列的“”,拷贝公网访问地址。 在浏览器中访问公网地址。 步骤五:清理资源 在左侧导航栏中选择“工作负载 > 无状态(Deployment)”,在无状态负载列表,单击2048的,删除工作负载。 如需删除CCI服务所绑定的ELB,请前往云容器实例控
CCI支持负载均衡,当前在CCI创建工作负载的访问设置页面中,内网访问(使用私网ELB访问)和公网访问中的配置都是负载均衡方式。 通常所说的负载均衡一般指的是公网负载均衡,CCI对接负载均衡服务。 通过CCI创建工作负载时,在设置访问设置的页面,可以根据需要选择内网访问和外网访问,然后配置负载均衡。
如何从容器访问公网? 您可以使用公有云平台提供的NAT网关服务。该服务能够为虚拟私有云内的容器提供网络地址转换(Network Address Translation)服务,使虚拟私有云内的容器可以共享使用弹性公网IP访问Internet。通过NAT网关的SNAT功能,可以直接访问Inter
此时pod的dnsPolicy需要设置为ClusterFirst。 在插件市场界面可以单击,将coredns插件安装在指定的namesapce下。 图1 创建插件 如果用户负载不需要k8s内部域名解析服务,但是需要使用域名解析服务,此时pod的dnsPolicy需要设置为Default。
CCI是否提供基础容器镜像的下载服务? CCI中的镜像仓库是由容器镜像服务(SoftWare Repository)提供,容器镜像服务提供基础容器镜像的下载。 父主题: 镜像仓库类
间时会关联已有VPC或创建一个新的VPC,并在VPC下创建一个子网。后续在该命名空间下创建Pod、Service等资源时都会在对应的VPC及子网之内,且占用子网中的IP地址。 通常情况下,如果您在同一个VPC下还会使用其他服务的资源,您需要考虑您的网络规划,如子网网段划分、IP数量规划等,确保有可用的网络资源。
容器生命周期 设置容器生命周期 云容器实例基于Kubernetes,提供了容器生命周期钩子,在容器的生命周期的特定阶段执行调用,比如容器在停止前希望执行某项操作,就可以注册相应的钩子函数。目前提供的生命周期钩子函数如下所示。 启动后处理(PostStart):容器启动后触发。 停
在创建负载的时候设置为容器添加日志存储。 容器内日志路径:即日志存储挂载到容器内的挂载路径,需要保证应用程序的日志输出路径与该路径一致,这样日志才能写入到日志存储卷中。 请确保日志存储卷路径在当前容器内是不存在的,否则会把容器内这个路径下的内容清空。 目前只支持日志路径下的“.log”、“
选择已有命名空间或单击“创建命名空间”按钮,创建新的命名空间。 如果您要缓存的镜像包含私有镜像仓库,请确保命名空间绑定的vpc与私有镜像仓库网络互通。如需缓存公网镜像,需要命名空间绑定的vpc配置SNAT规则,参考从容器访问公网。 镜像仓库访问凭证 如果您容器里选择的镜像是私有的,请输入所选镜像的仓库地址、用户名、密
应用场景 如果您了解容器引擎的使用,明白定制镜像时,一般使用Dockerfile来完成。Dockerfile是一个文本文件,其内包含了一条条的指令,每一条指令构建镜像的其中一层,因此每一条指令的内容,就是描述该层应该如何构建。 本章节将介绍Dockerfile文件的一些配置如何对应到云容器实例中去使用。
云硬盘存储卷 为满足数据的持久化需求,云容器实例支持将云硬盘(EVS)挂载到容器中。通过云硬盘,可以将存储系统的远端文件目录挂载到容器中,数据卷中的数据将被永久保存,即使删除了容器,只是卸载了挂载数据卷,数据卷中的数据依然保存在存储系统中。 EVS目前支持普通I/O(上一代产品)、高I/O、超高I/O三种规格。
true 如果是使用HTTP协议的自建镜像仓库地址,需要设置为true,否则会因协议不同而导致镜像拉取失败。默认值为false。 insecureSkipVerify boolean 否 true 如果是使用自签发证书的自建镜像仓库地址,需要设置为true来跳过证书认证,否则会因
云审计服务支持的CCI操作列表 CCI通过云审计服务(Cloud Trace Service,简称CTS)为您提供云服务资源的操作记录,记录内容包括您从云管理控制台或者开放API发起的云服务资源操作请求以及每次请求的结果,供您查询、审计和回溯使用。 表1 云审计服务支持的CCI操作列表
X-Auth-Token 是 String 用户Token。 通过调用IAM服务获取用户Token接口获取(响应消息头中X-Subject-Token的值)。 响应参数 状态码: 200 表4 响应Body参数 参数 参数类型 描述 apiVersion String APIVersion defines
配置最短就绪时间 推荐的配置minReadySeconds时长,为业务容器的启动预期时间加上ELB服务下发member到生效的时间。 minReadySeconds的时长需要小于sleep时长,保证旧的容器停止并退出之前,新的容器已经准备就绪。 配置完成后,对应用进行升级和弹性扩缩容的打流测试。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
