检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权项。 如表1所示,包括了CCE的所有系统权限。 表1 CCE系统权限 系统角色/策略名称 描述 类别 依赖关系 CCE Administrator 具有CCE集群及集群下所有资源(包含集群、节点、工作负载、任务、服务等)的读写权限。 系统角色 拥有该权限的用户必须同时拥有以下权限:
Standard/CCE Turbo 命名空间的描述会加在命名空间对下的annotation里 命名空间状态 参数名 取值范围 默认值 是否允许修改 作用范围 phase Active/Terminating Active 不可配置,由Kubernetes系统自身维护状态 CCE Standard/CCE
在CCE集群中使用镜像服务的安全配置建议 容器镜像是防御外部攻击的第一道防线,对保障应用程序、系统乃至整个供应链的安全至关重要。不安全的镜像容易成为攻击者的突破口,导致容器逃逸到宿主机。一旦容器逃逸发生,攻击者便能访问宿主机的敏感数据,甚至利用宿主机作为跳板,进一步控制整个集群或
Kubernetes中所有的访问,无论外部内部,都会通过API Server处理,访问Kubernetes资源前需要经过认证与授权。 Authentication:用于识别用户身份的认证,Kubernetes分外部服务账号和内部服务账号,采取不同的认证机制,具体请参见认证与ServiceAccount。 Author
约束与限制 给用户组授权之前,请您了解用户组可以添加的CCE系统策略,并结合实际需求进行选择,CCE支持的系统策略及策略间的对比,请参见CCE系统权限。若您需要对除CCE之外的其它服务授权,IAM支持服务的所有策略请参见系统权限。 具备Security Administrator权
CCE容器网络扩展指标 插件介绍 CCE容器网络扩展指标插件(dolphin)是一款容器网络流量监控管理插件,支持CCE Turbo集群非主机网络容器的流量统计,以及节点内容器联通性健康检查。 字段说明 表1 参数描述 参数 是否必选 参数类型 描述 basic 否 object
表示获取集群升级路径信息成功。 { "kind" : "ClusterUpgradeFeatureGates", "apiVersion" : "v3", "metadata" : { }, "upgradeFeatureGates" : { "DisplayPreCheckDetail"
io/eip-id的annotation后,EIP会随Pod自动完成绑定。 已有EIP绑定Pod后,系统会自动为该EIP添加集群ID、命名空间、Pod名称的标签。 当使用已有EIP的Pod被删除时,已有EIP会保留。系统会自动删除绑定EIP时添加的标签(集群ID、命名空间、Pod名称)。 以下示例创
规模没有特殊要求的通用场景。 CCE Turbo集群 CCE Turbo集群是基于云原生基础设施构建的云原生2.0容器引擎服务,具备软硬协同、网络无损、安全可靠、调度智能的优势,为用户提供一站式、高性价比的全新容器服务体验。 CCE Turbo集群提供了面向大规模高性能的场景云原生2
级集群变更版本号 CCE Standard/CCE Turbo 若不配置,默认创建最新版本的集群。 若指定集群基线版本但是不指定具体r版本,则系统默认选择对应集群版本的最新r版本。建议不指定具体r版本由系统选择最新版本。 Turbo集群支持1.19及以上版本商用。 配置建议: 推荐使用最新的商用版本。
操作系统镜像版本说明 本文为您提供CCE集群操作系统版本相关的最新发布动态。 如需获取最新的集群版本与操作系统版本对应表,请参见集群版本与操作系统对应关系。 Huawei Cloud EulerOS 2.0 内核版本 发布时间 发布说明 5.10.0-182.0.0.95.r2220_156
通过动态存储卷使用文件存储 通过动态存储卷创建SFS子目录 设置文件存储挂载参数 将容器应用从SFS 1.0迁移到通用文件系统(SFS 3.0)或SFS Turbo 父主题: 存储
如果要开启该特性,需要给kubelet增加启动参数为--seccomp-default=true,这样会默认开启seccomp为RuntimeDefault,提升整个系统的安全。1.25集群将不再支持使用注解“seccomp.security.alpha.kubernetes.io/pod”和“container
V2,存量集群不支持开启。 开启了DataPlane V2后,不支持启用云原生混部的出口网络带宽保障能力。 支持的操作系统 仅支持Huawei Cloud EulerOS 2.0操作系统。 加速数据链路 Pod或Node访问Service的ClusterIP以及ExternalIP时,会使用
据覆盖和丢失。 使用通用文件系统(SFS 3.0)存储卷时,集群中需要安装2.0.9及以上版本的CCE容器存储(Everest)插件。 使用通用文件系统(SFS 3.0)存储卷时,挂载点不支持修改属组和权限,挂载点默认属主为root。 使用通用文件系统(SFS 3.0)时,创建、
如果要开启该特性,需要给kubelet增加启动参数为--seccomp-default=true,这样会默认开启seccomp为RuntimeDefault,提升整个系统的安全。1.25集群将不再支持使用注解“seccomp.security.alpha.kubernetes.io/pod”和“container
户被授予的策略中必须包含允许“ecs:servers:list”的授权项,该接口才能调用成功。 IAM支持的授权项 策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
加载到ELB负载均衡,实现动态加载。 认证鉴权 支持Basic Auth认证方式。 支持oAuth协议。 支持TLS身份认证。 性能 性能依赖手动调优,需要进行系统参数调优和Nginx参数调优。 需要配置合理的副本数和资源限制。更多信息,请参见通过控制台创建Nginx Ingress。
擎,不同的集群类型、集群版本、操作系统可能导致支持的容器引擎类型不同,请根据控制台呈现进行选择。具体场景请参见节点操作系统与容器引擎对应关系。 操作系统 选择操作系统类型,不同类型节点支持的操作系统有所不同。 公共镜像:请选择节点对应的操作系统。 私有镜像:支持使用私有镜像,私有
上访问同一个二层域下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务,从而获取接口信息。如果绑定在端口上的服务没有设置身份验证,则会导致该服务容易受到攻击。例如,如果集群管理员运行监听了127.0.0.1:1234的TCP服务,由于这个bug,该服务将有可能被
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
