华为云 CCE 政策涵盖权限、计费、安全、网络、存储等多个方面,详细解析及对应的云容器引擎优势:
华为云 CCE 政策解析
- 权限管理政策
- 角色授权:是一种粗粒度授权机制,以服务为粒度,如 CCE FullAccess 拥有 CCE 服务集群相关资源的普通操作权限;CCE ReadOnlyAccess 拥有 CCE 服务集群相关资源的查看权限。
- 策略授权:是细粒度授权,能精确到具体服务操作等,如租户能控制用户仅对某一类集群和节点资源进行指定管理操作。
- 计费政策。
- 按需计费:后付费模式,按实际使用时长计费。对于按需计费的集群,休眠状态期间集群管理费用不再收取,但集群中其他云服务计费资源仍按原方式计费。
- 网络安全策略:ELB Ingress 网关可配置接入 WAF 引擎检测并拦截恶意攻击流量,还可通过 annotation 配置自定义安全策略,如设置黑白名单、双向认证等。
- 加密策略:监听器使用的安全策略有 tls-1-0-inherit、tls-1-0 等多种取值,缺省为 tls-1-2,仅对 HTTPS 协议类型的监听器且关联 LB 为独享型时有效。
- 节点访问:默认为 VPC 内网访问,若要通过公网访问需在集群节点上绑定弹性 IP。
- 负载均衡访问:自动创建的 ELB 实例建议不要被其他资源使用,v1.15 及之前版本集群使用的 ELB 实例不要修改监听器名称。
- 网络策略:当前仅容器隧道网络模型的集群支持网络策略,入规则所有版本均支持,出规则需 v1.23 及以上集群版本,不支持对 IPv6 地址网络隔离。
- 回收策略:分为 Retain 和 Delete。配置为 Retain 时,删除与之绑定的 PVC,PV 被标记为 Released,底层卷保留;配置为 Delete 时,删除 PVC,底层卷及 PV 也会被删除,建议配置为 Retain。
华为云 CCE 优势
- 简单易用:可一键创建容器集群,一站式自动化部署和运维容器应用,无需自行搭建容器运行环境,还深度集成 Helm 标准模板,真正实现开箱即用。
- 极致性能:云原生 2.0 网络使容器网络两层变一层,实现网络直通零损耗。采用高性能裸金属 NUMA 架构和高速 IB 网卡,AI 计算性能提升 3-5 倍以上。
- 安全可靠:集群控制面支持 3 Master HA,集群内节点和应用支持跨 AZ 部署,Kata 安全容器给容器提供类似虚拟机级别的安全隔离能力。
- 弹性伸缩:秒级自动弹性伸缩,能从容应对突发的流量浪涌,可根据业务需求和预设策略,自动调整计算资源。
- 丰富场景:提供开箱即用的 Istio 服务流量治理能力,可实现灰度发布等。还能基于代码源自动完成代码编译等流程,对接已有 CI/CD,完成传统应用的容器化改造和部署。
