检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
k8sblockloadbalancer 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数:无 作用 不允许Service为LoadBalancer类型。 策略实例示例 apiVersion: constraints.gatekeeper.sh/v1beta1
管理CronFederatedHPA策略 本小节将指导您对已经创建的CronFederatedHPA策略进行管理,包括编辑策略与删除策略。 编辑CronFederatedHPA策略 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 单击已开通集群联邦的容器舰队名称,进入容器舰队详情页面。
k8scontainerratios 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: ratio:字符串 cpuRatio:字符串 exemptImages:字符串数组 作用 限制容器的limit对request比例的最大值。 策略实例示例 限制容器的li
k8scontainerrequests 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: cpu:字符串 memory:字符串 exemptImages:字符串数组 作用 限制CPU和内存的Request必须设置且小于配置的最大值。 策略实例示例 示例配置了CPU和内存的最大Request。
k8scontainerlimits 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: cpu:字符串 memory:字符串 exemptImages:字符串数组 作用 限制容器必须设置CPU和内存Limit,并且小于设定的最大值。 策略实例示例 示例展示了
集群内访问(ClusterIP) 集群内访问表示工作负载暴露给同一集群内其他工作负载访问的方式,可以通过“集群内部域名”访问。集群内部域名格式为“<自定义的访问方式名称>.<工作负载所在命名空间>.svc.cluster.local”,例如“nginx.default.svc.cluster
配置FederatedHPA策略以控制扩缩速率 为什么需要控制扩缩速率 HPA controller默认的扩缩容总原则是:快速扩容,低速缩容。然而,若仅依靠配置稳定窗口时长,在窗口时长过后即失去了对扩缩容速率的控制能力,无法真正实现对扩缩容速率的精准控制。您可以通过配置负载伸缩策
k8spspallowedusers 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages: 字符串数组 runAsUser: rule: 字符串 ranges: - min: 整型 max: 整型 runAsGroup:
创建CronFederatedHPA策略以定时扩缩工作负载 本小节将指导您创建CronFederatedHPA策略,以设置固定时间周期自动扩缩工作负载。 在创建CronFederatedHPA策略前,您可以参考CronFederatedHPA工作原理了解相关原理与概念。若您需要了
k8spspautomountserviceaccounttokenpod 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数:无 作用 约束容器不能设置automountServiceAccountToken为true。 策略实例示例 示例声明了match匹配
因此如果某个集群中应用不可用,访问请求可切换至其他集群进行处理。 服务共享:使用MCS,可以更便捷地在不同集群中访问公共服务(监控、日志系统等),无需为所有集群部署本地公共服务副本。 应用迁移:MCS桥接了不同集群服务间的通信,您可以将同一Service部署到不同集群,通过流量迁移来更轻松地进行应用迁移。
件适用的集群类型与指标类型不同,请参考表1选择插件进行安装。 表1 插件选择 适用的集群类型 支持的指标类型 插件 注意事项 华为云集群 系统指标 安装Kubernetes Metrics Server或kube-prometheus-stack。 若您选择安装kube-prom
k8spspallowprivilegeescalationcontainer 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“allowPrivilegeEscalation”字段为false。
k8sexternalips 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数: allowedIPs:字符串数组 作用 限制服务externalIP仅为允许的IP地址列表。 策略实例示例 服务的externalIP仅允许allowedIPs中定义的IP。
节点端口:容器端口映射到节点私有IP上的端口,用私有IP访问应用时使用,端口范围为30000-32767,建议选择“自动生成”。 自动生成:系统会自动分配端口号。 指定端口:指定固定的节点端口,默认取值范围为30000-32767。若指定端口时,请确保同个集群内的端口唯一性。 设置完成后,单击“确认”。
遵循的安全和合规规定。这样一来,您可以确保所有团队在使用集群资源时遵循相同的标准。 自动化策略部署:在UCS策略中心启用并创建策略实例后,系统会自动将这些策略应用到多个集群中,这将大大减少手动配置的时间和出错的可能性。 监控策略实施情况:UCS策略中心能够提供诸如集群合规率、不合
k8spspprivilegedcontainer 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 禁止PodSecurityPolicy中的“privileged”字段为true。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。
系统插件 服务运维系统插件由云原生服务中心提供,当部署的服务声明了诸如日志、监控运维能力配置时,集群中如果没有对应的运维能力插件,将会自动安装,您可通过“服务插件”页面查看各个集群中部署的运维能力插件。 背景知识 服务运维系统插件分别用于提供服务日志和监控能力。 ops-oper
使用MCS 设置集群网络 创建MCS 父主题: 多集群Service
创建MCI 约束限制 当前MCI仅支持版本为1.21及以上的CCE Turbo集群、网络模型为underlay的其他Kubernetes集群创建。 请提前做好网络规划,保证成员集群间容器网络不冲突,确保ELB实例与容器Pod IP网络可达。若MCI的ELB实例与集群处于不同VPC内,请提前打通VPC间的网络。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
