API时，前者生效；使用KubeConfig直接操作联邦时，后者生效。 在集群联邦和成员集群上分别创建的RBAC资源互相不感知、不影响。通过集群联邦入口配置的RBAC权限仅直接访问联邦时生效；直接访问成员集群时，仅成员集群上配置的RBAC生效。 在分配细粒度鉴权时，谨慎使用ClusterRole、ClusterRo

查看更多 →

探针接入自建K8S 本章节指导您将探针接入自建K8S。 操作步骤 登录MAS控制台。 单击“混沌工程>探针管理”，进入“探针管理”页面。 在“我的应用”栏下选择所需安装的应用，该应用已纳管自建K8S资源。 选择“云服务-自建K8S”页签。 单击操作列“安装探针”。 等待探针状态从

查看更多 →

k8spsphostnetworkingports 基本信息 策略类型：安全 推荐级别：L3 生效资源类型：Pod 参数： exemptImages: 字符串数组 hostNetwork: max: 整型 min: 整型 作用 约束PodSecurityPolicy中的

查看更多 →

完全启用容器审计功能，需满足以下条件： 集群容器或非集群容器已接入HSS并开启容器版防护。 接入容器资产操作请参见为集群安装Agent，开启防护操作请参见开启容器版防护。 完成部分审计类型的审计前提操作，具体如表 审计前提说明所示。 表1 审计前提说明 对象 审计类型 审计前提 自建或第三方云集群 K8s审计日志

查看更多 →

升级管控检查异常处理 检查集群是否处于升级管控中。 2 插件检查异常处理 检查插件状态是否正常 检查插件是否支持目标版本 3 Helm模板检查异常处理 检查当前HelmRelease记录中是否含有目标集群版本不支持的K8s废弃API，可能导致升级后helm模板不可用。 4 Master节点SSH连通性检查异常处理

查看更多 →

目录或文件。指定按目录过滤，可过滤掉该目录下的所有文件。 K8S事件 采集K8S集群内的事件日志。无需设置参数，仅支持icagent 5.12.150 及以上版本。 说明： K8S事件不能重复配置，即一个K8S集群的K8S事件，只能配置接入到一个日志流。 当数据源类型选择容器标准

查看更多 →

购买Lite专属池 k8s Cluster资源配置 若已完成集群资源购买和开通，则需要对网络、存储、容器镜像等内容进行配置。请参考k8s Cluster环境配置详细流程。 kubectl访问集群配置 本步骤需要在节点机器，对kubectl进行集群访问配置。 首先进入已创建的CCE集群控制版面

查看更多 →

(Forbidden)怎么办？ 问题描述 在使用集群联邦的过程中，执行kubectl命令，出现如下所示的报错信息。 可能原因 可能是由于集群联邦内成员集群的资源对象ClusterRole或者ClusterRoleBinding被删除。集群联邦内若有一个及以上的成员集群出现上述情况，就会导致kubectl命令请求中断并返回该错误。

查看更多 →

k8spsphostnamespace 基本信息 策略类型：安全 推荐级别：L3 生效资源类型：Pod 参数：无 作用 限制PodSecurityPolicy中的“hostPID”和“hostIPC”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion:

查看更多 →

k8spspforbiddensysctls 基本信息 策略类型：安全 推荐级别：L3 生效资源类型：Pod 参数： allowedSysctls：数组 forbiddenSysctls：数组 作用 约束PodSecurityPolicy中的“sysctls”字段不能使用的name。

查看更多 →

k8srequiredlabels 基本信息 策略类型：合规 推荐级别：L1 生效资源类型：* 参数： labels: 键值对数组，key/ allowedRegex key: a8r.io/owner # Matches email address or github

查看更多 →

proxy-agent-*** -nkube-system 可能出现如下错误： K8s事件显示集群无法拉取proxy-agent镜像，请您确保集群具备访问公网的能力，可正常拉取SWR镜像。 K8s事件显示节点的CPU或内存资源不足，请您扩容节点资源。 K8s事件显示没有符合调度规则的节点。proxy-agen

查看更多 →

16-r4的1.19集群 补丁版本小于等于v1.21.7-r0的1.21集群 补丁版本小于等于v1.23.5-r0的1.23集群 约束与限制 集群升级出现异常时，集群可通过备份数据进行回滚。若您在升级成功之后对集群进行了其它操作（例如变更集群规格），将无法再通过备份数据回滚。 集群升级至v1

查看更多 →

集群类别与类型说明 集群类别（category） 集群类型（type） provider供应商 华为云集群（self） CCE Standard集群（cce） huaweicloud CCE Turbo 集群（turbo） huaweicloud 本地集群（onpremise） 本地集群（baremetal）

查看更多 →

集群调度器配置 开启GPU共享 是否开启GPU共享能力 参数名 取值范围 默认值 是否允许修改 作用范围 enable-gpu-share true/false true 允许 CCE Standard/CCE Turbo 配置建议： true 默认调度器 集群调度器选择开关，用户可自定义调度器模式。

查看更多 →

K8S上部署ABI 说明：采用K8S部署abi531时，pod数只能是1个。 有管理平台 此处以华宇容器云平台作为部署工具，华宇容器云平台是为在生产环境中管理Docker和K8s设计的全栈化容器部署与管理平台。它以Docker及K8s为底层，以应用为发布单元的企业级容器云平台。

查看更多 →

k8sexternalips 基本信息 策略类型：合规 推荐级别：L1 生效资源类型：Service 参数： allowedIPs：字符串数组 作用 限制服务externalIP仅为允许的IP地址列表。 策略实例示例 服务的externalIP仅允许allowedIPs中定义的IP。

查看更多 →

权限，请参考集群联邦RBAC授权添加授权。 如果您在访问联邦和集群内资源时出现错误提示“Precondition Required”，可能是由于网络问题或成员集群故障导致集群失联，请按以下步骤进行排查： 检查成员集群的工作状态与接入状态是否正常，具体操作可参考附着集群接入失败如何解决？。

查看更多 →

容器审计”，进入“容器审计”页面。 根据以下操作查看不同类型的审计日志。 图1 查看容器审计日志 查看集群容器审计 选择“集群容器审计”页签。 单击目标集群名称，进入集群容器审计详情页面，查看K8s审计日志、K8s事件、容器日志、容器运行指令的日志记录。 查看容器实例审计 选择“容器实例审计”页签。

查看更多 →

K8s废弃API检查异常处理 检查项内容 系统会扫描过去一天的审计日志，检查用户是否调用目标K8s版本已废弃的API。 由于审计日志的时间范围有限，该检查项仅作为辅助手段，集群中可能已使用即将废弃的API，但未在过去一天的审计日志中体现，请您充分排查。 解决方案 检查说明 根据检

查看更多 →

请参见 云服务器 名称、节点名称与K8s节点名称说明。 如您在创建（纳管）选择将云 服务器 名称指定为K8s节点名称， 集群已有节点将仍使用私有IP作为K8s节点名称。 该场景下，存在部分K8s节点名称与私有IP不一致的情况，对于业务场景中将私有IP和K8s节点名称混用的场景，需做好适配

查看更多 →