KubeWharf 是字节跳动基础架构团队在对 Kubernetes 进行了大规模应用和不断优化增强之后的技术结晶。这是一套以 Kubernetes 为基础构建的分布式操作系统,由一组云原生组件构成,专注于提高系统的可扩展性、功能性、... 访问控制、跨集群管理等多个子项目,构建出了一个完整的开源技术生态。KubeWharf 重视系统各项核心指标,比如可扩展性、功能全面性、稳定性、监控观测能力以及安全性等。它针对大规模多租户环境中容器化应用的挑战...
全场景的安全架构规划:从网络边界、内部网络、各类基础设施、数据、业务应用到后期监控响应,运维管控,在各层面均进行安全管控设计,实现全方位立体式防护;- 云安全产品防护:借助腾讯SaaS安全产品包括安全体检(漏洞扫描、挂马检测、网站后门检测、端口安全检测等)、安全防御(DDoS 防护、入侵检测、访问控制来保证数据安全与用户隐私)以及安全监控与审计,形成事前、事中、事后的全过程防护;- 业界主流安全工具平台赋能:如:KubeL...
Kubernetes 作为当下应用最普遍的容器集群管理工具,详细了解它的认证鉴权机制是非常有必要的。本文的主要内容就是增进大家对k8s的认证和鉴权模块的了解,其中包括kubernetes准入控制及RBAC的集群认证与鉴权机制。# 一、**集群准入控制机制详解**Kubernetes 自身并没有用户管理能力,无法像操作Pod一样,通过API的方式创建/删除一个用户实例,也无法在etcd中找到用户对应的存储对象。在Kubernetes 的访问控制流程中,用户模型是通过...
基础架构即服务(IaaS)提供了原始的网络、存储和计算,客户可以根据需要消费。它还包括支持服务,如身份和访问管理(IAM),供应和库存系统。这种方式允许公司摆脱所有硬件,从云供应商那里租用 VM 或物理服务器,节省人... 云原生基础架构是隐藏在有用的抽象背后的基础架构,又 API 控制,由软件管理,目标是运行应用程序。利用这些特性运行基础实施,是使用可扩展、高效的方式管理基础架构的新模式。云原生的基础架构需要抽象底层 IaaS 产...
访问控制 IAM (Identity and Access Management)是火山引擎为客户提供的一套权限管理系统,用于控制不同身份对云资源的访问权限,如为不同IAM用户授予多个云资源的权限、为多个云资源设置相同的权限、为IAM不同用户授... 受信任的身份通过扮演角色获取临时安全凭证来访问云资源。角色的信任身份支持以下类型: 账号:授权当前登录账号或其他账号通过角色访问您的云资源。 用户:可以是一个真实的使用者,也可以是一个后端服务。用户被角色...
云数据库 PostgreSQL 版支持通过多用户权限管理系统——访问控制(Identity and Access Management,简称 IAM)实现多身份的权限管控能力,提升运维安全及客户端、服务端集成产品力过程中的安全性,保障服务与服务之间协同调用的合规性和安全性。本文介绍通过 IAM 实现云数据库 PostgreSQL 版资源的资源管理、权限管理和身份管理的操作过程。 基本概念在访问控制中,有以下几个概念: 用户 用户是访问控制的一种身份,由账号(Account)或是...
概述负载均衡提供监听级别的访问控制,如果您希望仅允许某些IP、或仅拒绝某些IP通过监听端口访问CLB实例,可以对该监听器设置访问控制策略。 您可以在创建监听器时配置访问控制,也可以在监听器创建后修改或重新配置访问控制。 访问控制说明在为监听器开启访问控制功能之前,您需要创建至少一个访问控制策略组,策略组是由多个IP条目组成的集合,用于集中管理IP,便于监听器批量关联。策略组本身不对访问控制方式做限制,交由监听器完成。...
密钥管理服务通过身份与访问控制(Identity and Access Management,缩写:IAM)实现对资源的访问控制。下面介绍 KMS 定义的资源类型和操作权限。 火山引擎账号对自己的资源拥有完整的操作权限,IAM 用户和 IAM 角色则需要通过显式授权获取对应资源的操作权限。 资源类型资源类型 trn 抽象密钥环容器 trn:kms:${region}:${account}:keyrings/* 抽象密钥容器 trn:kms:${region}:${account}:keyrings/${keyringName}/keys/* 密钥环 trn:...
本文介绍了如何在火山引擎应用型负载均衡(ALB)控制台为监听器配置基于 IP 的访问控制。 在 ALB 实例中,您可以对每个监听器配置 IP 访问控制,实现以下功能: 仅允许来自特定 IP 地址的请求。 禁止来自特定 IP 地址的请求。 您通过访问控制策略组来管理一组特定的 IP 地址,然后将策略组以白名单或者黑名单的方式关联某个监听器,实现该监听器的访问控制。 操作步骤步骤 1:创建访问控制策略组登录应用型负载均衡控制台。 在左侧导航栏...
支持设置构建加速实例的访问控制策略。本文为您介绍如何配置公网/私网访问策略。 说明 公网访问与私网访问请至少开启一个。 公网访问支持通过公网访问构建加速实例,请根据业务需要选择是否开启公网访问。 警告 开启公网访问后,可能产生公网流出流量费用。具体请参见 构建加速计费说明。 关闭公网访问后,系统自动创建的 EIP 等相关资源将一并销毁。请谨慎操作! 登录 持续交付控制台。 在左侧导航栏选择 构建加速。 在构建加速...
用户是访问控制的一种身份,由账号(Account)或是拥有权限的用户创建。用户被授予策略(Policy)后,可登录控制台或使用访问密钥(Access Key)调用API访问云资源。账号(又称为主账号)可以看作是一个特殊的用户(被称为根用户,root user),是云服务资源的拥有者,也是资源计量、资源计费的主体。主账号默认拥有账号下所有权限。 新建用户点击右上角账号头像,在下拉菜单中选择“访问控制”,进入访问控制后在“用户管理”页点击新建用户按钮,...
本文介绍通过云防火墙自动引流配置,帮助您完成VPC与VPC之间的流量访问控制。 注意 本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。 场景介绍 完成VPC1、VPC2、VPC3之间流... 点到多点:一个网络实例与多个网络实例之间的流量经过云防火墙管控。适用于星形网络拓扑环境; 多点互联:多个网络实例之间的流量经过云防火墙管控。适用于Full Mesh网状网络拓扑环境。 多点互联 实例选择 配置需...
创建策略组登录负载均衡控制台。 在顶部导航栏,选择目标资源所属的项目和地域。 在左侧导航树,选择“访问控制”,进入访问控制页面。 单击“创建访问控制策略组”按钮,进入创建页面,配置相关参数。 参数 说明 取... 访问控制策略组只能被具有该项目权限的用户所使用。 更多关于项目的介绍请参考项目管理。 default IP条目 由IP地址/地址段 + 备注组成,每行包括一个条目,格式为「x.x.x.x备注」或「x.x.x.0/x|备注」。 支持同时...