暂无个人介绍
2022年10月
鉴权流程如下,其他细节请访问:https://help.aliyun.com/document_detail/212436.html
带身份验证的鉴权流程如下:
用户请求进入OSS后,OSS会对请求携带的签名和服务端计算的签名进行比对。
如果判断结果是基于角色的会话策略,则OSS会对Session Policy进行权限比对。
如果判断结果不是基于角色的会话策略,也会继续检查RAM Policy和Bucket Policy。
RAM Policy是基于身份的策略。您可以使用RAM Policy控制用户可以访问您名下哪些资源的权限。对于用户级别的访问,需要根据请求的账号类别判断允许或拒绝访问请求。
Bucket Policy是基于资源的授权策略,Bucket Owner可以通过Bucket Policy为RAM用户或其他账号授权Bucket或Bucket内资源精确的操作权限。
如果存在,则拒绝访问。如果不存在,则检查是否存在Allow策略。
如果存在Allow策略,则允许访问。如果不存在Allow策略,则判断请求来源。
如果是管控类API请求,则拒绝访问。如果为数据类API请求,则继续Object ACL或Bucket ACL的鉴权。
管控类API请求包括Service操作(GetService (ListBuckets))、Bucket相关操作(例如PutBucket、GetBucketLifecycle等)、LiveChannel相关操作(例如PutLiveChannel、DeleteLiveChannel等)。
数据类API请求包括Object相关操作,例如PutObject、GetObject等。
根据Object ACL进行鉴权时,需要结合请求用户是否为Bucket Owner,以及请求类型为读请求或写请求进行判断。
如果Object ACL为继承Bucket,则继续检查Bucket ACL。
根据Bucket ACL进行鉴权时,需要结合请求用户是否为Bucket Owner进行判断。
支持的地域
地域 | 公网接入点 | VPC接入点 |
华东1(杭州) | http(s)://<AccountID>.eventbridge.cn-hangzhou.aliyuncs.com | http://<AccountID>.eventbridge.cn-hangzhou-vpc.aliyuncs.com |
华东2(上海) | http(s)://<AccountID>.eventbridge.cn-shanghai.aliyuncs.com | http://<AccountID>.eventbridge.cn-shanghai-vpc.aliyuncs.com |
华北1(青岛) | http(s)://<AccountID>.eventbridge.cn-qingdao.aliyuncs.com | http://<AccountID>.eventbridge.cn-qingdao-vpc.aliyuncs.com |
华北2(北京) | http(s)://<AccountID>.eventbridge.cn-beijing.aliyuncs.com | http://<AccountID>.eventbridge.cn-beijing-vpc.aliyuncs.com |
华北3(张家口) | http(s)://<AccountID>.eventbridge.cn-zhangjiakou.aliyuncs.com | http://<AccountID>.eventbridge.cn-zhangjiakou-vpc.aliyuncs.com |
华北5(呼和浩特) | http(s)://<AccountID>.eventbridge.cn-huhehaote.aliyuncs.com | http://<AccountID>.eventbridge.cn-huhehaote-vpc.aliyuncs.com |
华北6(乌兰察布) | http(s)://<AccountID>.eventbridge.cn-wulanchabu.aliyuncs.com | http://<AccountID>.eventbridge.cn-wulanchabu-vpc.aliyuncs.com |
华南1(深圳) | http(s)://<AccountID>.eventbridge.cn-shenzhen.aliyuncs.com | http://<AccountID>.eventbridge.cn-shenzhen-vpc.aliyuncs.com |
华南2(河源) | http(s)://<AccountID>.eventbridge.cn-heyuan.aliyuncs.com | http://<AccountID>.eventbridge.cn-heyuan-vpc.aliyuncs.com |
华南3(广州) | http(s)://<AccountID>.eventbridge.cn-guangzhou.aliyuncs.com | http://<AccountID>.eventbridge.cn-guangzhou-vpc.aliyuncs.com |
西南1(成都) | http(s)://<AccountID>.eventbridge.cn-chengdu.aliyuncs.com | http://<AccountID>.eventbridge.cn-chengdu-vpc.aliyuncs.com |
中国香港 | http(s)://<AccountID>.eventbridge.cn-hongkong.aliyuncs.com | http://<AccountID>.eventbridge.cn-hongkong-vpc.aliyuncs.com |
美国(硅谷) | http(s)://<AccountID>.eventbridge.us-west-1.aliyuncs.com | http://<AccountID>.eventbridge.us-west-1-vpc.aliyuncs.com |
美国(弗吉尼亚) | http(s)://<AccountID>.eventbridge.us-east-1.aliyuncs.com | http://<AccountID>.eventbridge.us-east-1-vpc.aliyuncs.com |
德国(法兰克福) | http(s)://<AccountID>.eventbridge.eu-central-1.aliyuncs.com | http://<AccountID>.eventbridge.eu-central-1-vpc.aliyuncs.com |
新加坡 | http(s)://<AccountID>.eventbridge.ap-southeast-1.aliyuncs.com | http://<AccountID>.eventbridge.ap-southeast-1-vpc.aliyuncs.com |
日本(东京) | http(s)://<AccountID>.eventbridge.ap-northeast-1.aliyuncs.com | http://<AccountID>.eventbridge.ap-northeast-1-vpc.aliyuncs.com |
说明 AccountID是指阿里云(主账号)ID。
镜像和容器已然成为应用的打包和交付标准。Kubernetes成为了整个容器云原生应用的标准OS,越来越多的企业和用户选择在ACK中部署自己的应用。容器服务Kubernetes版(ACK)支持Containerd、Docker、安全沙箱三种运行时。本文通过对比三种运行时的实现和使用限制、部署结构,并通过对比Docker和Containerd两种容器引擎常用命令,帮助您根据需求场景选择合适的容器运行时。
特性 | Containerd运行时 | Docker运行时 | 安全沙箱运行时 | 说明 |
集群类型 | 支持托管版、专有版和边缘托管版 | 支持所有类型 | 支持托管版和专有版 | 无 |
节点型号 | 支持:
| 支持:
| 支持: EBM | 无 |
节点OS | 支持:
| 支持:
| 支持: Alibaba Cloud Linux定制版 |
|
容器引擎 | 支持Containerd | 支持Docker | 支持Containerd | 无 |
监控 | 支持 | 支持 | 支持 | 无 |
容器日志文件采集 | 支持 | 支持 | 手动支持(Sidecar) | 有关Sidecar配置,请参见通过Sidecar-CRD方式采集容器文本日志。 |
容器标准输出采集 | 支持 | 支持 | 支持 | 无 |
RuntimeClass | 不支持 | 不支持 | 支持(runV) | 无 |
Pod调度 | 无需配置 | 无需配置 | 配置如下:
| 无 |
HostNetwork | 支持 | 支持 | 不支持 | 无 |
exec/logs | 支持 | 支持 | 支持 | 无 |
节点数据盘 | 可选 | 可选 | 必选(不小于200 GiB) | 无 |
网络插件 | 支持:
| 支持:
| 支持:
| 无 |
kube-proxy代理模式 | 支持:
| 支持:
| 支持:
| 无 |
存储插件 | 支持CSI Plugin(边缘托管版除外) | 支持CSI Plugin | 支持CSI Plugin | 无 |
容器RootFS | 支持OverlayFS | 支持OverlayFS | 支持配置磁盘Quota的OverlayFS | 无 |
运行时 | 部署结构 |
Docker |
|
Containerd |
|
安全沙箱v2 |
|
Docker运行时和安全沙箱运行时的容器引擎分别是Docker和Containerd。这两种容器引擎都有各自的命令工具来管理镜像和容器。两种容器引擎常用命令对比如下。
命令 | Docker | Containerd | |
docker | crictl(推荐) | ctr | |
查看容器列表 | docker ps | crictl ps | ctr -n k8s.io c ls |
查看容器详情 | docker inspect | crictl inspect | ctr -n k8s.io c info |
查看容器日志 | docker logs | crictl logs | 无 |
容器内执行命令 | docker exec | crictl exec | 无 |
挂载容器 | docker attach | crictl attach | 无 |
显示容器资源使用情况 | docker stats | crictl stats | 无 |
创建容器 | docker create | crictl create | ctr -n k8s.io c create |
启动容器 | docker start | crictl start | ctr -n k8s.io run |
停止容器 | docker stop | crictl stop | 无 |
删除容器 | docker rm | crictl rm | ctr -n k8s.io c del |
查看镜像列表 | docker images | crictl images | ctr -n k8s.io i ls |
查看镜像详情 | docker inspect | crictl inspecti | 无 |
拉取镜像 | docker pull | crictl pull | ctr -n k8s.io i pull |
推送镜像 | docker push | 无 | ctr -n k8s.io i push |
删除镜像 | docker rmi | crictl rmi | ctr -n k8s.io i rm |
查看Pod列表 | 无 | crictl pods | 无 |
查看Pod详情 | 无 | crictl inspectp | 无 |
启动Pod | 无 | crictl runp | 无 |
停止Pod | 无 | crictl stopp | 无 |
说明 暂不支持CentOS 8.x及以上的操作系统。
当添加已有实例到节点池时,会将实例加入到节点池安全组中,对于实例已经加入的安全组不会重复加入。由于ECS实例能够加入的安全组有一定的限制,因此需要保证实例加入节点池后实例所加入的安全组数量小于其限制。关于云服务器ECS的使用限制,请参见使用限制。
安全组是一种虚拟防火墙,用于控制安全组内ECS实例的入流量和出流量,从而提高ECS实例的安全性。
安全组分为普通安全组、企业安全组和托管安全组,其中托管安全组由云产品创建,且只有创建托管安全组的云产品才有对其规则更改的权限,因此创建节点池时应避免选择托管安全组,否则会造成创建节点池失败。普通安全组和企业安全组的详情和区别如下表所示:
功能 | 普通安全组 | 企业安全组 |
未添加任何规则时的访问策略 |
|
|
能容纳的私网IP地址数量 | 2000 | 65536 |
同一个安全组内实例之间的网络连通策略 | 默认内网互通 | 默认内网隔离,需要您手动添加安全组规则 |
授权给其他安全组 | 支持组组授权 | 不支持组组授权 |
创建节点池时,会为节点池安全组默认添加规则,用于集群内的通信。关于如何配置普通安全组和企业安全组的集群访问规则,请参见最小化集群访问规则。
添加实例到安全组时,需要注意实例已有的安全组规则不应与以下安全组规则冲突,否则将导致Pod之间无法通信:
当您的网络模式为Terway弹性网卡模式时,需要注意以下内容。如果您使用Flannel模式,请忽略。
自动添加节点方式会列出当前账号下可用的ECS云服务器,在Web界面进行安装部署,并自动添加到集群。
说明 如果您的集群没有节点池,请先创建节点池,然后再添加已有节点。关于创建节点池的具体操作,请参见创建节点池。
选择添加方式为自动添加,在已有云服务器的列表中,选择所需的ECS云服务器。
配置项 | 说明 |
集群ID/名称 | 当前要添加的集群信息,已默认配置。 |
数据盘挂载 | 设置是否将容器和镜像存储在数据盘。
注意 被格式化的数据盘内原有数据将会丢失,请注意提前备份数据。
|
保留实例名称 | 添加节点时,默认开启保留实例名称。如果您不需要保留实例名称,您可以关闭保留实例名称,此时会按照自定义节点名称指定的规则来重命名节点。 |
实例信息 | 添加的云服务器实例的实例ID及实例名称。 |
注意 手动添加到ACK集群的ECS节点不会随集群删除而被释放。
手动添加节点方式要求您获取安装命令,登录到对应ECS云服务器上进行安装,每次只能添加一个ECS云服务器。
说明 如果您的集群没有节点池,请先创建节点池,然后再添加已有节点。关于创建节点池的具体操作,请参见创建节点池。
选择添加方式为手动添加,在已有云服务器的列表中,选择所需的ECS云服务器。
配置项 | 说明 |
集群ID/名称 | 当前要添加的集群信息,已默认配置。 |
数据盘挂载 | 设置是否将容器和镜像存储在数据盘。
注意 被格式化的数据盘内原有数据将会丢失,请注意提前备份数据。
|
保留实例名称 | 添加节点时,默认开启保留实例名称。如果您不需要保留实例名称,您可以关闭保留实例名称,此时会按照自定义节点名称指定的规则来重命名节点。 |
实例信息 | 添加的云服务器实例的实例ID及实例名称。 |
关于远程连接方式,请参见下表:
远程连接方式 | 说明 |
Workbench远程连接 | 关于如何使用Workbench远程连接ECS实例,请参见通过密码或密钥认证登录Linux实例或通过密码或密钥认证登录Windows实例。 |
VNC远程连接 | 关于如何使用VNC远程连接ECS实例,请参见通过密码认证登录Linux实例或通过密码认证登录Windows实例。 |
发送远程命令(云助手) | 推荐使用,发送远程命令可以帮助您在实例内部快速执行命令,即无需远程连接登录实例,即可完成查看硬盘空间、安装软件、启动停止服务等操作。该功能通过云助手的命令执行功能实现。关于如何安装或激活云助手客户端,请参见安装云助手客户端。 |
步骤8保存的命令,单击执行开始执行脚本。
等待脚本执行成功,该云服务器就添加成功。
可查看刚才添加的节点信息。
消息队列RabbitMQ版服务端有默认的消息重试机制,不支持您在Consumer客户端重新配置消息重试机制和关闭消息重试机制。消息队列RabbitMQ版服务端默认的消息重试机制如下:
以下为同步的注意事项及限制,暂不支持修改。
本文各命令行示例均基于Linux 64位系统,其他系统请将命令开头的./ossutil64替换成对应的Binary名称。详情请参见命令行工具ossutil快速入门。
通过sync命令执行同步任务时,如果没有携带--delete选项,则单次同步任务同步的文件个数无限制。如果携带了--delete选项,则单次同步任务最多可同步100万个文件。当同步的文件个数超出100万时,将报错over max sync numbers 1000000.。
除以上区别外,sync命令与cp命令用法类似。有关cp命令的用法及示例,请参见cp(上传文件)。
在使用分隔符方式进行数据采集时,日志服务支持将分隔符和引用符设置为不可见字符。不可见字符是ASCII码中编号为1~31及127的字符,指定分隔符和引用符为不可见字符时,您需要查找不可见字符在ASCII码中对应的十六进制数,输入的格式为0x不可见字符在ASCII码中对应的十六进制数。本文假设日志样例为123456780,分隔符为0x01,引用符为0x02,在日志样例5和6之间输入一个不可见字符0x01。
如何进入配置页面,请参见使用分隔符模式采集日志。
可以尝试本地防火墙设置,然后重新打开浏览器查看
轻量应用服务器已接入阿里云云安全中心,云安全中心通过防勒索、防病毒、防篡改、合规检查等安全能力,实现威胁检测、告警响应、攻击溯源的自动化安全运营闭环,保护您的轻量应用服务器的安全。
可以有主账号为其分配权限,根据个人中心的信息查找主账号在申请
日志切片