依赖关系 CCE.Storage.EVS 依赖关系 OBS.Bucket 依赖关系 CCE.Storage.SFS 依赖关系 CCE.ConfigMap 依赖关系 CCE.Job 依赖关系 CCE.Storage.OBS 依赖关系 CCE.DaemonSet 依赖关系 CCE.Secret

查看更多 →

Kubernetes 1.23版本说明 云容器引擎（CCE）严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.23版本所做的变更说明。 资源变更与弃用 社区1.23 ReleaseNotes FlexVolume废弃，建议使用 CS I。 HorizontalPodAutoscaler

查看更多 →

默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.class 支持elbv3局点：performance 不支持elbv3局点：union performance 允许 CCE Standard/CCE Turbo 请根据不同的应用

查看更多 →

默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.class 支持elbv3局点：performance 不支持elbv3局点：union performance 允许 CCE Standard/CCE Turbo 请根据不同的应用

查看更多 →

根据自己的应用来适配。 [root@ccenode-roprr hujun]# cat cce-sc-csidisk-ack.yaml allowVolumeExpansion: true apiVersion: storage.k8s.io/v1 kind: StorageClass

查看更多 →

LocalSubjectAccessReview SelfSubjectAccessReview SubjectAccessReview SelfSubjectRulesReview authorization.k8s.io/v1beta1 authorization.k8s.io/v1 （该API从社区v1

查看更多 →

再默认支持Docker容器引擎，详情请参见Kubernetes即将移除Dockershim，CCE v1.27版本中也将不再支持Docker容器引擎。 因此，在一般场景使用时建议选择Containerd容器引擎。但在以下场景中，仅支持使用Docker容器引擎： Docker in

查看更多 →

k8spsphostnamespace 基本信息 策略类型：安全 推荐级别：L3 生效资源类型：Pod 参数：无 作用 限制PodSecurityPolicy中的“hostPID”和“hostIPC”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion:

查看更多 →

k8spspforbiddensysctls 基本信息 策略类型：安全 推荐级别：L3 生效资源类型：Pod 参数： allowedSysctls：数组 forbiddenSysctls：数组 作用 约束PodSecurityPolicy中的“sysctls”字段不能使用的name。

查看更多 →

k8srequiredlabels 基本信息 策略类型：合规 推荐级别：L1 生效资源类型：* 参数： labels: 键值对数组，key/ allowedRegex key: a8r.io/owner # Matches email address or github

查看更多 →

K8s废弃API检查 检查项内容 系统会扫描过去一天的审计日志，检查用户是否调用目标K8s版本已废弃的API。 由于审计日志的时间范围有限，该检查项仅作为辅助手段，集群中可能已使用即将废弃的API，但未在过去一天的审计日志中体现，请您充分排查。 解决方案 检查说明 根据检查结果，

查看更多 →

选择“其他租户”，则必须选择授权租户进行CCE集群部署。 说明： 推荐配置拥有CCE集群操作权限的子账号的AK/SK，不推荐配置租户账号的AK/SK。 是否使用IAM提权 如果当前用户无操作权限执行接口时，可通过IAM提权获取到其他用户的临时AK/SK去执行CCE接口。 区域 选择要部署的区域。

查看更多 →

CCE管理地址获取 登录HCS系统。 获取“云容器引擎CCE”的地址。 服务列表选择“云容器引擎CCE”。 取前半段地址，例如下图的https://console.huaweicloud.com/cce2.0。 获取镜像地址。 服务列表里选择“容器 镜像服务 ”。 单击“我的镜像”，下载指令里，“docker

查看更多 →

对象存储卷挂载设置自定义访问密钥（AK/SK） 背景信息 CCE提供了设置自定义访问密钥的能力，可以让IAM用户使用自己的访问密钥挂载对象存储卷，从而可以对OBS进行访问权限控制（具体请参见如何对OBS进行访问权限控制？）。 约束与限制 对象存储卷使用自定义访问密钥（AK/SK）时，对应的AK/SK不允

查看更多 →

依赖关系 CCE.Storage.EVS 依赖关系 OBS.Bucket 依赖关系 CCE.Storage.SFS 依赖关系 CCE.ConfigMap 依赖关系 CCE.Job 依赖关系 CCE.Storage.OBS 依赖关系 CCE.DaemonSet 依赖关系 CCE.Secret

查看更多 →

K8S.SecurityContext.SeLinuxOptions 字段说明 表1 字段说明 属性 是否必选 参数类型 描述 type 否 string Selinux类型 role 否 string Selinux角色 user 否 string Selinux用户名 level

查看更多 →

k8spspallowedusers 基本信息 策略类型：安全 推荐级别：L3 生效资源类型：Pod 参数： exemptImages: 字符串数组 runAsUser: rule: 字符串 ranges: - min: 整型 max: 整型 runAsGroup:

查看更多 →

k8spspflexvolumes 基本信息 策略类型：安全 推荐级别：L3 生效资源类型：Pod 参数： allowedFlexVolumes：数组 作用 约束PodSecurityPolicy中的allowedFlexVolumes字段类型。 策略实例示例 以下策略实例展示了

查看更多 →

k8srequiredprobes 基本信息 策略类型：合规 推荐级别：L1 生效资源类型：Pod 参数： probes：数组 probeTypes：数组 作用 要求Pod具有Readiness或Liveness Probe。 策略实例示例 以下策略实例展示了策略定义生效的资源类

查看更多 →

namespace: default spec: accessModes: - ReadWriteOnce resources: requests: storage: 10Gi CCE默认存储类 目前CCE默认提供csi-disk、csi-nas、csi-

查看更多 →

虑使用CCE Turbo集群的安全容器。 容器和集群管理面的网络隔离安全加固： 由于CCE集群是私有集群，且工作负载有访问集群apiserver的场景，因此CCE未限制容器和Kubernetes管理面的网络通信，用户如通过限制Pod的QoS保证加固网络安全，详情请参见容器网络带宽限制。

查看更多 →