检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 容器镜像必须包含digest。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind:
自动为您选择的舰队或集群安装Gatekeeper插件。 约束与限制 仅华为云账号或具备UCS FullAccess权限的用户可进行策略中心的启用操作。 为非华为云集群启用策略中心前,请确保集群能够拉取公网镜像。 启用策略中心功能后,系统将在舰队或集群上安装Gatekeeper插件
更新KubeConfig文件的操作仅适用于附着集群与伙伴云集群。 前提条件 集群未加入任何舰队。 集群安装了anp-agent插件,以保证新的KubeConfig文件能与集群完成一次连通性探测。 操作步骤 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 在左侧导航栏选择“容器舰队”,单击“未
器网段。 注意: 请仔细检查路由中配置的目的地址信息,防止出现网段冲突。 描述 否 路由的描述信息,非必填项。 描述信息内容不能超过255个字符,且不能包含“<”和“>”。 修改安全组 修改本端集群节点的安全组,在入方向规则中允许对端集群节点访问本端集群容器端口。 如图6所示,“
- apiGroups: [""] kinds: ["Service"] 符合策略实例的资源定义 Servie类型非Nodeport,符合策略实例。 apiVersion: v1 kind: Service metadata: name: my-service-disallowed
容器舰队概述 容器舰队 舰队是多个集群的集合,您可以使用舰队来实现关联集群的分类。舰队还可以实现多集群的统一管理,包括权限管理、安全策略、配置管理以及多集群编排等统一管理的能力。 容器舰队使用限制 仅华为云账号且具备UCS FullAccess权限的用户可进行舰队的创建、删除操作。
PU虚拟设备。相对于静态分配来说,虚拟化的方案更加灵活,最大程度保证业务稳定的前提下,可以完全由用户定义使用的GPU数量,提高GPU利用率。 GPU虚拟化功能优势如下: 灵活:精细配置GPU算力占比及显存大小,算力分配粒度为5%GPU,显存分配粒度达MB级别。 隔离:支持显存和算
运行中 是 不可用 是 说明: 当集群接入UCS之后,UCS会获取用户集群vCPU的使用量并记录。如果之后集群状态变为“不可用”,导致UCS无法获取到最新的集群vCPU使用量信息,UCS会根据最后一次记录到的vCPU使用量进行计费。 等待接入 否 注册超时 否 注销中 否 注销失败 否
概述 ASM服务提供了一个透明的分布式安全层,并提供了底层安全的通信通道,管理服务通信的认证、授权和加密,还提供了实例到实例、服务到服务的通信安全。 开发人员在这个安全基础设施层上只需专注于应用程序级别的安全性。 安全功能主要分为对端认证、请求认证和服务授权,以确保服务间通信的可靠性。
信息、包括负载列表、风险概览和资源统计等。 登录UCS控制台,在左侧导航栏中选择“容器智能分析”,选择一个容器舰队。 单击“容器洞察 > 负载总览”页签查看同一舰队内已开启监控的集群下的所有工作负载,列表中显示工作负载的名称、状态、实例个数、CPU使用率、内存使用率等指标。列表右
系统指标 安装Kubernetes Metrics Server。 参见安装插件相关文档。 自定义指标 暂无插件支持。 非华为云集群的自定义指标采集需要自行安装Prometheus Adapter组件并配置自定义指标采集规则,再进行FederatedHPA策略的创建。 安装插件 选
容器智能分析 集群因插件资源残留开启监控失败怎么办? 集群因策略拦截开启监控失败怎么办? 如何修改kube-state-metrics组件的采集配置?
监控中心 访问日志 应用拓扑 父主题: 服务网格
安全 责任共担 身份认证与访问 审计与日志 监控风险安全 认证证书
多云集群 如何清理多云集群资源? 如何获取访问密钥AK/SK? 如何更新多云集群证书?
复杂场景 某用户通过UCS服务管理华为云集群和本地集群,其使用时间轴见图1。 图1 使用时间轴 具体操作如下: 该用户于2023/06/15 08:00:00成功接入集群,接入集群规模为:华为云集群40 vCPU,本地集群10 vCPU 该用户于2023/06/15 08:30:
allowedUsers:数组 作用 拒绝白名单外的资源更新ServiceAccount。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,pararmeters中定义了允许的组列表allowedGroups和允许的用户列表allowedUsers。 # IMPORTANT: Before deploying
forbiddenSysctls:数组 作用 约束PodSecurityPolicy中的“sysctls”字段不能使用的name。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中的forbiddenSysctls定义了sysctls中不能允许的名称。 apiVersion:
漏洞修复方案 请在VPC内做好安全组加固,确保仅暴露接口给受信用户。 参考链接 HTTP/2协议拒绝服务漏洞 附:为何影响? HTTP/2 允许在单个连接上同时发送多个请求,每个 HTTP 请求或响应使用不同的流。连接上的数据流被称为数据帧,每个数据帧都包含一个固定的头部,用来描述该数据帧的类型、所属的流
从而通过身份认证。 AK(Access Key ID):访问密钥ID。与私有访问密钥关联的唯一标识符;访问密钥ID和私有访问密钥一起使用,对请求进行加密签名。 SK(Secret Access Key):私有访问密钥。与访问密钥ID结合使用,对请求进行加密签名,可标识发送方,并防止请求被修改。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
