检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Token认证,同时支持命名空间级别及命名空间以下资源的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 命名空间权限:是基于Kubernetes RBAC能力的授权。通过权限设置可以让不同的用户或用户组拥有操作指定Namespace下Kubernetes资源的权限。
CVE-2020-13401的漏洞公告 华为云CCI团队已经于7月22日识别 Kubernetes 安全漏洞CVE-2020-13401并对其进行了详细分析,分析结论为:用户与CCI服务均不受本次漏洞的影响,无需进行处理。 漏洞详情 Kubernetes官方发布安全漏洞CVE-2020-13401,CVSS Rating:
CCI服务的开源第三方中包含的公网地址声明是什么? CCI服务提供 Serverless Container(无服务器容器)引擎,让用户无需创建和管理服务器集群即可直接运行容器。在CCI服务组件开源依赖中,包含三方开源依赖k8s.io/kubernetes、go.etcd.io/
SFS 3.0 √ x √ √ x 使用限制 待挂载的文件存储必须是按需付费,更多信息,请参见文件存储计费。 使用文件存储期间,不能修改文件存储关联的VPC配置信息,否则CCI中容器无法访问文件存储。 请谨慎执行文件存储的删除操作,以避免造成CCI中容器不可用。 导入SFS 3.0容量型文件系统
云原生bursting CCE突发弹性引擎(对接CCI)
西南-贵阳一 SFS √ √ √ √ x 使用限制 待挂载的文件存储必须是按需付费,更多信息,请参见文件存储计费。 使用文件存储期间,不能修改文件存储关联的VPC配置信息,否则CCI中容器无法访问文件存储。 请谨慎执行文件存储的删除操作,以避免造成CCI中容器不可用。 导入SFS 1.0容量型文件系统
选择资源ID时,还需选择或者手动输入某个具体的资源ID。 选择资源名称时,还需选择或手动输入某个具体的资源名称。 操作用户:在下拉框中选择某一具体的操作用户,此操作用户指用户级别,而非租户级别。 事件级别:可选项为“所有事件级别”、“normal”、“warning”、“incident”,只可选择其中一项。
/磁盘等。您可以在CCI控制台查看Pod的监控指标数据,也可以在AOM中查看。 监控指标 在AOM控制台,可以查看容器实例的指标,指标内容请参见表1。 表1 监控指标 指标ID 指标名称 指标含义 取值范围 单位 cpuUsage CPU使用率 该指标用于统计测量对象的CPU使用
I服务期间,请不要自行删除或者修改cci_admin_trust委托。 当前CCI服务计划对cci_admin_trust委托的Tenant Administrator权限进行收缩,收缩后的权限为CCIFullAccess,CCIFullAccess策略权限详细说明请参见权限管理
的访问凭证,包括地址、用户名和密码。 如果镜像需要通过公网拉取,则需要事先配置NAT网关服务。 如果镜像快照中只有部分镜像与Pod中镜像相符,则不相符的镜像仍需通过下载拉取。 CCI实例运行中镜像信息发生变动,且新镜像与匹配的镜像快照中镜像无相符的场景,则新镜像仍需通过下载拉取。
储卷进行管理,具体请参见云硬盘存储卷、对象存储卷、文件存储卷 3.0或极速文件存储卷。 日志采集:支持根据您配置的日志输出路径,采集应用日志,请自行防爆处理。单击添加日志存储,输入容器内日志路径,调整日志存储空间。负载创建完成后,可在AOM界面查看日志,具体请参见日志管理。 环境
勾选待删除的镜像快照,单击左上方“删除快照”按钮。 或直接单击镜像快照操作列下的“删除”。 使用kubectl管理镜像快照 使用kubectl查看、删除镜像快照,请参见管理镜像快照。 父主题: 镜像快照
使用镜像快照创建CCI实例支持以下两种方式: 自动匹配:自动匹配将从用户创建的所有可用镜像快照中选择最优的镜像。 明确指定:明确指定使用的镜像快照。该镜像缓存必须为创建完成可用(Available)状态。 更多内容,请参考镜像快照概述。 操作步骤 在创建负载的过程中,容器配置填写完成
伸缩负载 本节主要讲解工作负载弹性伸缩和手动伸缩的配置方式。请根据实际业务选择。 弹性伸缩:支持告警、定时、周期三种策略。配置完成后可基于资源变化、固定时间、固定周期自动触发实例的增减。 手动伸缩:配置完成后立即触发实例的增减。 对于挂载了云硬盘存储卷的Pod,实例缩容时不会同步
可对存储卷进行管理,具体请参见云硬盘存储卷、文件存储卷 3.0或极速文件存储卷。 日志采集:支持根据您配置的日志输出路径,采集应用日志,请自行防爆处理。单击添加日志存储,输入容器内日志路径,调整日志存储空间。负载创建完成后,可在AOM界面查看日志,具体请参见日志管理。 环境变量:
视为失败。如果设置为0或不设置,默认超时等待时间为1秒。 使用kubectl设置健康检查 应用存活探针设置请参见存活探针(liveness probe)。 应用业务探针设置请参见业务探针(Readiness probe)。 父主题: 工作负载
启动容器就是启动主进程,但有些时候,启动主进程前,需要一些准备工作。比如MySQL类的数据库,可能需要一些数据库配置、初始化的工作,这些工作要在最终的MySQL服务器运行之前解决。这些操作,可以在制作镜像时通过在Dockerfile文件中设置ENTRYPOINT或CMD来完成,如下所示
、证书、私钥等保存在密钥中,在容器启动时以环境变量加载到容器中,或以文件方式挂载到容器中。 Secret与SSL证书共用同一个配额。 建议用户对上传的Secret进行加密处理。 创建Secret 登录云容器实例控制台,单击左侧导航栏的“配置中心 > 密钥(Secret)”,在右侧页面中选择命名空间,单击“创建密钥”。
] } 示例2:拒绝用户删除命名空间 拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先原则。 如果您给用户授予CCIFullAccess的系统策略,但不希望用户拥有CCIFullAcc
远程终端 远程终端(web-terminal)提供连接容器功能,帮助您快速调试容器。 约束与限制 web-terminal 默认是以sh shell登录容器,要求容器支持sh shell。 只有状态为“运行中”的容器可终端登录。 退出时,请在web-terminal中输入“exit”,否则会导致sh进程残留。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
