全部文档
云容器引擎 CCE云容器引擎 CCE
- 最新动态
-
服务公告
- 最新公告
- CCE安全使用指引
- Kubernetes版本支持机制
- 操作系统版本同步机制
- Kubernetes版本发布说明
-
漏洞公告
- 漏洞修复策略
- runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465)
- Docker资源管理错误漏洞公告(CVE-2021-21285)
- NVIDIA GPU驱动漏洞公告(CVE-2021-1056)
- Sudo缓冲区错误漏洞公告(CVE-2021-3156)
- Kubernetes安全漏洞公告(CVE-2020-8554)
- Apache containerd安全漏洞公告(CVE-2020-15257)
- Docker Engine输入验证错误漏洞公告(CVE-2020-13401)
- Kubernetes kube-apiserver输入验证错误漏洞公告(CVE-2020-8559)
- Kubernetes kubelet资源管理错误漏洞公告(CVE-2020-8557)
- Kubernetes kubelet和kube-proxy授权问题漏洞公告(CVE-2020-8558)
- 修复Kubernetes HTTP/2漏洞公告
- 修复Linux内核SACK漏洞公告
- 修复Docker操作系统命令注入漏洞公告(CVE-2019-5736)
- 全面修复Kubernetes权限许可和访问控制漏洞公告(CVE-2018-1002105)
- 修复Kubernetes Dashboard安全漏洞公告(CVE-2018-18264)
- 产品介绍
- Kubernetes基础知识
- 快速入门
-
用户指南
- 什么是云容器引擎
- 高危操作及解决方案
- 集群管理
- 节点管理
- 节点池管理
- 工作负载
- 亲和/反亲和性调度
- 网络管理
- 存储管理-CSI
- 存储管理-Flexvolume
- 命名空间
- 配置中心
- 模板市场(helm)
- 插件管理
- 弹性伸缩
- 权限管理
- 系统管家
- 云监控服务
- 云审计服务
- 相关服务
- 新版本控制台功能说明
-
最佳实践
- 容器应用部署上云CheckList
- 集群
-
网络
- CCE集群创建时网络模型选择及各模型区别
- CCE集群的网络地址段规划实践
- 从容器访问公网
- 通过负载均衡配置实现会话保持
- 通过VPN实现两个VPC之间的跨Region互通(VPC Router网络)
- 同一VPC下的集群外节点访问集群内的PodIP
- 自建IDC与CCE集群共享域名解析
- 容器与IDC借助VPC+云专线进行网络通信
- 不同场景下容器内获取客户端源IP
- 通过配置容器内核参数增大监听队列长度
- CCE Turbo共池BMS节点容器网卡多队列配置
- 用户在CCE集群的节点上使用多网卡的配置指导
- CCE Turbo集群应用进行优雅滚动升级
- LoadBalancer类型Service使用pass-through能力
- 存储
- 容器
- 微服务治理
- 权限
- 监控
- 弹性伸缩
- 云原生化改造迁移
- 批量计算
-
API参考
- 使用前必读
- API概览
- 如何调用API
- 快速入门
- API
-
Kubernetes API
- Kubernetes API说明
- Node
- Namespace
- Resourcequotas
- Pod
- Deployment
- StatefulSet
- DaemonSet
- Job
- CronJob
- ReplicaSet
- ReplicationController
- Endpoints
- Service
- Ingress
- NetworkPolicy
- PersistentVolume
- PersistentVolumeClaim
- ConfigMap
- Secret
- RBAC
-
API groups
- 列出APIVersions
- 列出APIGroups
- listing APIResources of GroupVersion apiregistration.k8s.io/v1beta1
- listing APIResources of GroupVersion extensions/v1beta1
- listing APIResources of GroupVersion apps/v1&apps/v1beta1
- listing APIResources of GroupVersion authentication.k8s.io/v1
- listing APIResources of GroupVersion authentication.k8s.io/v1beta1
- listing APIResources of GroupVersion authorization.k8s.io/v1
- listing APIResources of GroupVersion authorization.k8s.io/v1beta1
- listing APIResources of GroupVersion autoscaling/v1
- listing APIResources of GroupVersion batch/v1
- listing APIResources of GroupVersion certificates.k8s.io/v1beta1
- listing APIResources of GroupVersion networking.k8s.io/v1
- listing APIResources of GroupVersion policy/v1beta1
- listing APIResources of GroupVersion rbac.authorization.k8s.io/v1beta1
- listing APIResources of GroupVersion storage.k8s.io/v1
- listing APIResources of GroupVersion storage.k8s.io/v1beta1
- listing APIResources of GroupVersion apiextensions.k8s.io/v1beta1
- listing APIResources of GroupVersion v1
- Event
- 历史API
- 数据结构
- 权限和授权项
- 附录
- 修订记录
-
常见问题
- 高频常见问题
- 计费类
- 集群
- 节点
- 节点池
- 工作负载
-
网络管理
- 网络规划
-
网络异常
- 工作负载网络异常时,如何定位排查?
- 为什么访问部署的应用时浏览器返回404错误码?
- 为什么容器无法连接互联网?
- VPC的子网无法删除,怎么办?
- 如何修复出现故障的容器网卡?
- 节点无法连接互联网(公网),如何排查定位?
- 如何解决VPC网段与容器网络冲突的问题?
- ELB四层健康检查导致java报错:Connection reset by peer
- Service事件:Have no node to bind,如何排查?
- 为什么登录虚拟机VNC界面会间歇性出现Dead loop on virtual device gw_11cbf51a, fix it urgently?
- 集群节点使用networkpolicy概率性出现panic问题
- 节点远程登录界面(VNC)打印较多source ip_type日志问题
- 安全加固
- 网络指导
- 其他
- 存储管理
- 模板插件
- 监控日志
- API&kubectl
- 域名DNS
- 镜像仓库
- 参考知识
- 视频帮助
- 文档下载
- 通用参考
更新时间:2021/08/31 GMT+08:00
链接复制成功!
使用密钥
密钥创建后,可在工作负载环境变量和数据卷两个场景使用。
如下密钥为CCE系统使用的,请勿对其做任何操作。
- 不要操作kube-system下的secrets。
- 不要操作任何命名空间下的default-secret、paas.elb。其中,default-secret用于SWR的私有镜像拉取,paas.elb用于该命名空间下的服务对接ELB。
本节以下面这个所Secret为例,具体介绍Secret的用法。
apiVersion: v1 kind: Secret metadata: name: mysecret type: Opaque data: username: ****** #需要用Base64编码 password: ****** #需要用Base64编码
在Pod里使用密钥时,需要Pod和密钥处于同一集群和命名空间中。
使用密钥配置Pod的数据卷
密钥可以在Pod中作为文件使用。如下面的Pod示例所示,mysecret密钥的username和password以文件方式保存在/etc/foo目录下。
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: redis
volumeMounts:
- name: foo
mountPath: "/etc/foo"
readOnly: true
volumes:
- name: foo
secret:
secretName: mysecret
另外,还可以指定密钥的目录路径和权限,username存放在容器中的/etc/foo/my-group/my-username目录下。
apiVersion: v1
kind: Pod
metadata:
name: mypod
spec:
containers:
- name: mypod
image: redis
volumeMounts:
- name: foo
mountPath: "/etc/foo"
volumes:
- name: foo
secret:
secretName: mysecret
items:
- key: username
path: my-group/my-username
mode: 511
挂载Secret到数据卷还可以在界面上进行操作,在创建工作负载时,设置容器的高级设置,选择数据存储,添加本地磁盘,选择Secret即可配置。具体请参见密钥(Secret)挂载。
使用密钥设置Pod的环境变量
密钥可以在Pod中设置为环境变量。如下面的Pod示例所示,mysecret密钥的username和password配置为Pod的环境变量。
apiVersion: v1
kind: Pod
metadata:
name: secret-env-pod
spec:
containers:
- name: mycontainer
image: redis
env:
- name: SECRET_USERNAME
valueFrom:
secretKeyRef:
name: mysecret
key: username
- name: SECRET_PASSWORD
valueFrom:
secretKeyRef:
name: mysecret
key: password
restartPolicy: Never
父主题: 配置中心
