检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用第三方镜像 使用SWR企业版镜像仓库镜像 设置容器规格 设置容器生命周期 设置容器健康检查 设置环境变量 设置性能管理配置 设置工作负载升级策略 设置容忍策略 设置标签与注解 父主题: 工作负载
AppArmor和SELinux是两种强制访问控制系统(MAC),它们提供了一种比传统的Discretionary Access Control(DAC)更为严格的方法来限制和管理进程的权限。这些系统在概念上与Seccomp类似,但它们专注于提供更为细致的访问控制,包括对文件系统路径、网络端口和其他资源的访问。 A
称可自定义,但安装Velero时必须指定此桶名称,否则将无法访问导致备份失败,参见5。 原集群和目标集群中均需要安装部署Velero实例,安装步骤一致,分别用于备份和恢复。 CCE集群的Master节点不对外提供远程登录端口,您可通过kubectl操作集群完成Velero安装。
客户购买包周期资源后,支持客户退订包周期实例。退订资源实例包括资源续费部分和当前正在使用的部分,退订后资源将无法使用。退订资源实例需收取手续费。 注意事项 退订该实例是指退订续费部分和当前正在使用的部分,资源退订后将无法使用。 解决方案组合产品只支持整体退订。 订单中存在主从关系的资源,需分别退订。
法迁移,导致业务受损。 默认:300s 容器迁移对节点无法访问状态的容忍时间 default-unreachable-toleration-seconds 容器迁移对节点无法访问状态的容忍时间,默认对所有的容器生效,用户也可以为指定Pod进行差异化容忍配置,此时将以Pod配置的容忍时长为准,详情请参见设置容忍策略。
”等)进行收费。 说明: 集群休眠后,集群中的工作节点(即ECS)并不会自动关机,如需关机可勾选“关机集群下所有节点”选项。您也可以在集群休眠后自行登录ECS控制台将节点关机,具体请参见节点关机。 大部分节点关机后不再收费,特殊ECS实例(包含本地硬盘,如磁盘增强型,超高I/O型
在线生成SDK代码 API Explorer能根据需要动态生成SDK代码功能,降低您使用SDK的难度,推荐使用。 您可以在API Explorer中具体API页面的“代码示例”页签查看对应编程语言类型的SDK代码,如图1所示。 图1 获取SDK代码示例 SDK列表 在开始使用之前,请确保您安装
loadBalancerIP 否 String 外部访问类型使用ELB类型时ELB的IP。 elbClass 否 String 外部访问类型使用ELB类型时ELB类型,共享型(union)或独享型(performance),默认union。 elbID 否 String 外部访问类型使用ELB类型时ELB的ID。
SFS为用户提供一个完全托管的共享文件存储,能够弹性伸缩至PB规模,具备高可用性和持久性,为海量数据、高带宽型应用提供有力支持。 符合标准文件协议:用户可以将文件系统挂载给服务器,像使用本地文件目录一样。 数据共享:多台服务器可挂载相同的文件系统,数据可以共享操作和访问。 私有网络:数据访问必须在数据中心内部网络中。
场景二:通过网络策略限制Pod只能被带有特定标签的Pod访问,且只能访问指定Pod 图4 同时使用Ingress和Egress 目标Pod具有role=db标签,该Pod只允许带有role=frontend标签的Pod访问其6379端口,且该Pod只能访问带有role=web标签的Pod。网络策略中的Ingress和
建立TCP连接,如果连接成功,则证明探测成功,否则探测失败。选择TCP端口探测方式,必须指定容器监听的端口。 例如:有一个nginx容器,它的服务端口是80,对该容器配置了TCP端口探测,指定探测端口为80,那么集群会周期性地对该容器的80端口发起TCP连接,如果连接成功则证明检查成功,否则检查失败。
集群 集群创建 集群运行 集群删除 集群升级
9。 如果没有使用主机网络并且容器内进程不以root用户(UID为0)运行,则不涉及该漏洞。 漏洞修复方案 建议使用最小权限运行容器,对于不信任的容器进行如下限制: 禁止使用主机网络; 禁止容器内的进程以root用户运行。 相关链接 containerd-shim API exposed
操作场景 文件存储卷创建或导入CCE后,可以在工作负载中挂载文件存储卷。 约束与限制 如下配置示例适用于Kubernetes 1.13及以下版本的集群。 操作步骤 请参见通过kubectl连接集群,使用kubectl连接集群。 执行如下命令,配置名为“sfs-deployment-example
参数解释: 项目ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 账号的项目ID 默认取值: 不涉及 cluster_id 是 String 参数解释: 集群ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 集群ID 默认取值:
29集群:v1.29.2-r0及以上 其他更高版本的集群 您需要使用kubectl连接到集群,详情请参见通过kubectl连接集群。 通过kubectl命令行配置 请参见通过kubectl连接集群,使用kubectl连接集群。 创建名为“ingress-test.yaml”的YAML文件,此处文件名可自定义。
kube/config。kubeConfig文件:用于配置对Kubernetes集群的访问,KubeConfig文件中包含访问注册Kubernetes集群所需要的认证凭据以及Endpoint(访问地址),详细介绍可参见Kubernetes文档。 -s, --api-server:Kubernetes
CVE-ID 漏洞级别 披露/发现时间 流量劫持 CVE-2020-8554 中 2020-12-07 漏洞影响 对于单集群内多个用户共享使用的场景,如果将Pod和Service的创建和更新权限授予不信任的用户易受此漏洞的影响。 涉及所有Kubernetes版本。 漏洞修复方案 建议
操作场景 对象存储卷创建或导入CCE后,可以在工作负载中挂载对象存储卷。 约束与限制 如下配置示例适用于Kubernetes 1.13及以下版本的集群。 操作步骤 请参见通过kubectl连接集群,使用kubectl连接集群。 执行如下命令,配置名为“obs-deployment-example
参数解释: 项目ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 账号的项目ID 默认取值: 不涉及 cluster_id 是 String 参数解释: 集群ID,获取方式请参见如何获取接口URI中参数。 约束限制: 不涉及 取值范围: 集群ID 默认取值:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
