华为云UCS-华为云

华为云UCS-注册附着集群（公网接入）:步骤一：注册集群

步骤一：注册集群登录U CS 控制台。在左侧导航栏中选择“容器舰队”，单击附着集群选项卡中的“注册集群”按钮。参考表1填写待添加集群的基础信息，其中带“*”的参数为必填参数。表1 注册集群基础信息配置参数参数说明集群名称* 输入集群的自定义名称，需以小写字母开头，由小写字母、数字、中划线（-）组成，且不能以中划线（-）结尾。集群服务商* 选择一个集群服务商。所属区域* 选择集群所在的区域。集群标签非必填项，以键值对的形式为集群添加标签，可以通过标签实现集群的分类。键值对可自定义，以字母或者数字开头和结尾，由字母、数字、连接符（-）、下划线（_）、点号（.）组成，且63个字符之内。上传KubeConfig* 上传kubectl的配置文件来完成集群认证，支持JSON或YAML格式。获取KubeConfig文件的操作步骤因厂商而异，请参见KubeConfig。选择Context* 选择对应的Context。在完成KubeConfig文件上传后，选项列表将自动获取文件中的“contexts”字段。默认值为KubeConfig文件中“current-context”字段指定的Context，若文件中无此字段则需要从列表中手动选择。容器舰队选择集群所属的舰队。舰队用于权限精细化管理，一个集群只能加入一个舰队。若不选择舰队，集群注册成功后将显示在“未加入舰队的集群”页签下，后续还可以再添加至舰队中。不支持在注册集群阶段选择已开通集群联邦能力的舰队，如果一定要加入这个舰队，请在集群注册成功后，再添加到该舰队中。关于集群联邦的介绍，请参见开通集群联邦章节。如需新建舰队，请参见管理容器舰队。单击“确定”，集群注册成功后如图1所示，请在30分钟内接入网络。您可选择集群的接入方式或单击右上角按钮查看详细的网络接入流程。如您未在30分钟内接入网络，将会导致集群注册失败，可单击右上角按钮重新注册集群。如果已经接入但数据未采集上来，请等待2分钟后刷新集群。图1 集群等待接入状态

华为云UCS

华为云UCS-注册附着集群（私网接入）:步骤四：接入集群

步骤四：接入集群登录UCS控制台，在“等待接入”状态下的目标集群栏中单击“私网接入”。选择项目，再选择步骤三：购买终端节点中创建的终端节点。图5 选择终端节点将2中的agent配置文件上传至节点。单击“安装集群代理agent配置”，在待接入集群中执行如下命令，可单击右侧直接复制命令。图6 安装集群代理agent配置私网接入的集群无法通过私网下载SWR镜像仓库中的镜像，请确保工作负载运行的节点可访问公网。拉取proxy-agent容器镜像要求集群需要具备公网访问能力，或将proxy-agent镜像上传至集群可访问的镜像仓库，否则将导致proxy-agent部署失败。前往UCS控制台刷新集群状态，集群处于“运行中”。

华为云UCS 附着集群

华为云UCS-注册附着集群（私网接入）:步骤二：注册集群

步骤二：注册集群登录UCS控制台。在左侧导航栏中选择“容器舰队”，单击附着集群选项卡中的“注册集群”按钮。参考表1填写待添加集群的基础信息，其中带“*”的参数为必填参数。表1 注册集群基础信息配置参数参数说明集群名称* 输入集群的自定义名称，需以小写字母开头，由小写字母、数字、中划线（-）组成，且不能以中划线（-）结尾。集群服务商* 选择一个集群服务商。所属区域* 选择集群所在的区域。集群标签非必填项，以键值对的形式为集群添加标签，可以通过标签实现集群的分类。键值对可自定义，以字母或者数字开头和结尾，由字母、数字、连接符（-）、下划线（_）、点号（.）组成，且63个字符之内。上传KubeConfig* 上传kubectl的配置文件来完成集群认证，支持JSON或YAML格式。获取KubeConfig文件的操作步骤因厂商而异，请参见KubeConfig。选择Context* 选择对应的Context。在完成KubeConfig文件上传后，选项列表将自动获取文件中的“contexts”字段。默认值为KubeConfig文件中“current-context”字段指定的Context，若文件中无此字段则需要从列表中手动选择。容器舰队选择集群所属的舰队。舰队用于权限精细化管理，一个集群只能加入一个舰队。若不选择舰队，集群注册成功后将显示在“未加入舰队的集群”页签下，后续还可以再添加至舰队中。不支持在注册集群阶段选择已开通集群联邦能力的舰队，如果一定要加入这个舰队，请在集群注册成功后，再添加到该舰队中。关于集群联邦的介绍，请参见开通集群联邦章节。如需新建舰队，请参见管理容器舰队。单击“确定”，集群注册成功后如图2所示，请在30分钟内接入网络。您可选择集群的接入方式或单击右上角按钮查看详细的网络接入流程。如您未在30分钟内接入网络，将会导致集群注册失败，可单击右上角按钮重新注册集群。如果已经接入但数据未采集上来，请等待2分钟后刷新集群。图2 集群等待接入状态

华为云UCS 附着集群

华为云UCS-注册附着集群（私网接入）:前提条件

前提条件已创建一个准备接入UCS的集群，并且集群状态正常。在UCS提供服务的区域中创建一个VPC，具体操作请参见创建虚拟私有云和子网。当前仅支持“华北-北京四”区域。该VPC子网网段不能与IDC或第三方云中已使用的网络网段重叠，否则将无法接入集群。例如，IDC中已使用的VPC子网为192.168.1.0/24，那么华为云VPC中不能使用192.168.1.0/24这个子网。已获取待添加集群的KubeConfig文件，具体操作步骤因厂商而异，请参见KubeConfig。关于KubeConfig文件的更多说明请参考使用kubeconfig文件组织集群访问。

华为云UCS 附着集群

华为云UCS-注册附着集群（私网接入）:步骤三：购买终端节点

步骤三：购买终端节点登录UCS控制台，单击待接入集群栏的“单击接入”进入集群接入界面，单击“私网接入”。查看“创建终端节点”中的服务名称，单击，记录服务名称。图3 创建终端节点登录 VPC终端节点控制台，单击“创建终端节点”，创建连接不同服务的终端节点。选择终端节点的区域。选择“按名称查找服务”，输入所记录的服务名称，并单击“验证”。图4 购买终端节点选择步骤一：准备网络环境中与集群网络连通的虚拟私有云以及对应的子网。根据需求选择终端节点的“节点IP”为“自动分配”或“手动分配”。配置完其他参数后，单击“立即购买”，并进行规格确认。规格确认无误，单击“提交”，任务提交成功。参数信息配置有误，需要修改，单击“上一步”，修改参数，然后单击“提交”。

华为云UCS 附着集群

华为云UCS-注册附着集群（私网接入）:约束与限制

约束与限制华为云账号用户需具备UCS FullAccess和VPCEndpoint Administrator权限。若集群地域位于境外，应确保您的行为符合所适用的法律法规要求。请确保注册的集群为通过CNCF一致性认证，且版本在1.19至1.31之间的Kubernetes集群。附着集群通过私网接入时，由于网络限制，镜像仓库功能的使用可能受限：私网接入的集群无法通过私网下载SWR镜像仓库中的镜像，请确保工作负载运行的节点可访问公网。

华为云UCS 附着集群

华为云UCS-华为云集群:操作步骤

操作步骤登录UCS控制台，在左侧导航栏中选择“容器舰队”。单击华为云集群选项卡中的“注册集群”按钮。勾选需要注册的CCE Standard集群或 CCE Turbo 集群，并选择一个舰队，单击“确定”。注册集群时若不选择舰队，集群注册成功后将显示在“未加入舰队的集群”页签下，您可以随后再将其添加至舰队中，具体操作请参见管理未加入舰队的集群。不支持在注册集群阶段选择已开通集群联邦能力的舰队，如果一定要加入这个舰队，请在集群注册成功后，再添加到该舰队中。关于集群联邦的介绍，请参见开通集群联邦章节。

华为云UCS UCS集群

华为云UCS-注册伙伴云集群（公网接入）:步骤二：接入网络

步骤二：接入网络在UCS控制台成功添加集群后，集群状态将会显示为“等待接入”，此时UCS并未打通与集群的网络连接，因此需要在集群中配置网络代理来接入网络。请在添加集群后的30分钟内接入网络，您可单击右上角按钮查看详细的网络接入流程。如您未在30分钟内接入网络，将会导致集群注册失败，可单击右上角按钮重新注册集群。如果已经接入但状态未更新，请等待2分钟后刷新集群。前往UCS控制台，单击待接入集群栏的“单击接入，选择”“公网接入”，可查看详细的公网接入流程。下载集群代理agent的配置文件。集群代理配置存在私有密钥信息，每个集群代理配置仅能下载一次，请您妥善保管。将步骤2中的agent配置文件上传至节点。单击“安装集群代理agent配置”，在待接入集群中执行如下命令，可单击右侧直接复制命令。图1 安装集群代理agent配置前往UCS控制台刷新集群状态，集群处于“运行中”。

华为云UCS

华为云UCS-注册伙伴云集群（公网接入）:步骤一：注册集群

步骤一：注册集群登录UCS控制台，在左侧导航栏中选择“容器舰队”。单击伙伴云集群选项卡中的“注册集群”按钮。参考表1填写待添加集群的基础信息，其中带“*”的参数为必填参数。表1 注册集群基础信息配置参数参数说明集群名称* 输入集群的自定义名称，需以小写字母开头，由小写字母、数字、中划线（-）组成，且不能以中划线（-）结尾。集群服务商* 选择一个集群服务商。所属区域* 选择集群所在的区域。集群标签非必填项，以键值对的形式为集群添加标签，可以通过标签实现集群的分类。键值对可自定义，以字母或者数字开头和结尾，由字母、数字、连接符（-）、下划线（_）、点号（.）组成，且63个字符之内。上传KubeConfig* 上传kubectl的配置文件来完成集群认证，支持JSON或YAML格式。获取KubeConfig文件的操作步骤因厂商而异，请参见KubeConfig。选择Context* 选择对应的Context。在完成KubeConfig文件上传后，选项列表将自动获取文件中的“contexts”字段。默认值为KubeConfig文件中“current-context”字段指定的Context，若文件中无此字段则需要从列表中手动选择。容器舰队选择集群所属的舰队。舰队用于权限精细化管理，一个集群只能加入一个舰队。若不选择舰队，集群注册成功后将显示在“未加入舰队的集群”页签下，后续还可以再添加至舰队中。不支持在注册集群阶段选择已开通集群联邦能力的舰队，如果一定要加入这个舰队，请在集群注册成功后，再添加到该舰队中。关于集群联邦的介绍，请参见开通集群联邦章节。如需新建舰队，请参见管理容器舰队。单击“确定”。集群注册成功后请在30分钟内接入网络，您可选择集群的接入方式或单击右上角按钮查看详细的网络接入流程。如您未在30分钟内接入网络，将会导致集群注册失败，可单击右上角按钮重新注册集群。如果已经接入但数据未采集上来，请等待2分钟后刷新集群。

华为云UCS

华为云UCS-云原生日志采集插件:log-agent指标说明

log-agent指标说明 log-agent插件的log-operator、fluent-bit和otel-collector组件提供了一系列指标，您可以使用 AOM 或Prometheus来监控这些指标，以便及时了解log-agent插件的运行情况，具体操作可参考使用AOM监控自定义指标或使用Prometheus监控自定义指标。详细的指标如下所述： log-operator组件（仅华为云集群）端口：8443；地址：/metrics；协议：https 表7 指标指标名说明类型 log_operator_aksk_latest_update_times AK/SK最后更新时间 Gauge log_operator_aksk_update_total AK/SK更新次数 Counter log_operator_send_request_total 发送请求数 Counter log_operator_webhook_listen_status Webhook监听状态 Gauge log_operator_http_request_duration_seconds HTTP请求时延 Histogram log_operator_http_request_total HTTP请求数 Counter log_operator_webhook_request_total Webhook请求数 Counter fluent-bit组件端口：2020；地址：/api/v1/metrics/prometheus；协议：http 表8 指标指标名说明类型 fluentbit_filter_add_records_total 用于记录在过滤器中添加的记录总数 Counter fluentbit_filter_drop_records_total 用于记录被过滤掉的日志记录数量 Counter fluentbit_input_bytes_total 用于衡量Fluent Bit在处理日志数据时输入的总字节数 Counter fluentbit_input_files_closed_total 用于记录关闭的文件总数 Counter fluentbit_input_files_opened_total 用于监控Fluent Bit的文件输入插件（input plugin）打开的文件数量 Counter fluentbit_input_files_rotated_total 用于记录Fluent Bit输入插件已经轮转的文件总数 Counter fluentbit_input_records_total 用于衡量 Fluent Bit 在输入插件中处理的记录数 Counter fluentbit_output_dropped_records_total 用于记录输出插件丢弃的记录数量 Counter fluentbit_output_errors_total 用于监控 Fluent Bit 的输出错误数量 Counter fluentbit_output_proc_bytes_total 用于监控 Fluent Bit 的输出插件（output plugin）处理的总字节数 Counter fluentbit_output_proc_records_total 用于监控 Fluent Bit 的输出插件处理的记录数 Counter fluentbit_output_retried_records_total 用于衡量 Fluent Bit 在输出数据时重试的次数 Counter fluentbit_output_retries_total 用于衡量 Fluent Bit 在发送数据到输出插件时发生重试的次数 Counter fluentbit_uptime Fluent Bit 运行的时间，通常以秒为单位 Counter fluentbit_build_info 用于显示Fluent Bit的版本和构建信息 Gauge otel-collector组件端口：8888；地址：/metrics；协议：http 表9 指标指标名说明类型 otelcol_exporter_enqueue_failed_log_records 用于衡量OpenTelemetry Collector在将日志记录发送到下游系统时，由于某些原因无法成功发送的日志记录数量 Counter otelcol_exporter_enqueue_failed_metric_points 用于衡量在将指标数据发送到后端时，由于某些原因导致无法成功发送的指标数据点的数量 Counter otelcol_exporter_enqueue_failed_spans 用于衡量otelcol exporter在将span发送到后端时失败的次数 Counter otelcol_exporter_send_failed_log_records 用于衡量日志记录发送失败的数量 Counter otelcol_exporter_sent_log_records 用于衡量OpenTelemetry Collector（otelcol）发送的日志记录数量 Counter otelcol_process_cpu_seconds 用于度量进程CPU使用时间的指标，它表示进程在特定时间段内使用的CPU时间，单位为秒 Counter otelcol_process_memory_rss 是OpenTelemetry中用于监控进程内存使用情况的一个指标。其中，rss代表Resident Set Size，即进程当前占用的物理内存大小 Gauge otelcol_process_runtime_heap_alloc_bytes 用于监控进程运行时堆内存分配的指标。它表示进程在运行时分配的堆内存的总字节数。 Gauge otelcol_process_runtime_total_alloc_bytes 用于衡量进程在运行时分配的总字节数 Counter otelcol_process_runtime_total_sys_memory_bytes 用于衡量进程在运行时使用的系统内存总量，单位为字节。 Gauge otelcol_process_uptime 指OpenTelemetry收集器进程的运行时间，以秒为单位。 Counter otelcol_receiver_accepted_log_records 用于衡量OpenTelemetry收集器接收并成功处理的日志记录数量 Counter otelcol_receiver_refused_log_records 用于衡量接收器（receiver）拒绝接收的日志记录数量 Counter

华为云UCS 日志中心

华为云UCS-云原生日志采集插件:本地集群安装云原生日志插件前置授权

本地集群安装云原生日志插件前置授权由于云原生日志插件需要访问LTS和AOM两个云服务，访问云服务需要对云原生日志插件进行鉴权，本地集群云原生日志插件使用工作负载 Identity方式允许集群中的工作负载模拟 IAM 用户来访问云服务。工作负载 Identity方式是将集群的公钥配置到IAM身份提供商中，并添加 ServiceAccount 与 IAM 账号映射规则。工作负载部署时挂载ServiceAccount对应的Token，使用此Token访问云服务，IAM 使用该公钥验证Token，从而无需直接使用 IAM 账号的 AK/SK 等信息，降低安全风险。获取本地集群私钥签发的jwks，该公钥用于验证集群签发的 ServiceAccount Token。使用kubectl连接本地集群。执行如下命令获取公钥。 kubectl get --raw /openid/v1/jwks 返回结果为一个 json 字符串，是当前集群的签名公钥，用于访问身份供应商。 { "keys": [ { "kty": "RSA", "e": "AQAB", "use": "sig", "kid": "Ew29q....", "alg": "RS256", "n": "peJdm...." } ] } 在 IAM 配置身份供应商，标志当前集群在 IAM 侧的身份。登录IAM控制台，查询本地集群所在项目的ID，创建身份供应商，协议选择OpenID Connect。指定插件需要配置指定的身份供应商名称，具体请参见表1。用户组的权限配置具体操作请参见用户组策略内容。表1 log-agent身份供应商配置插件名称身份提供商名称客户端 ID namespace ServiceAccountName 用户组需要开通的最小权限 log-agent ucs-cluster-identity-{项目ID} ucs-cluster-identity monitoring log-agent-serviceaccount aom:alarm:* lts:*:* 图1 修改身份提供商信息单击“确定”，然后修改身份提供商信息，需要修改的信息如表2所示。随后创建身份转换规则，单击“创建规则”进行创建。图2 修改身份提供商信息表2 身份提供商配置参数说明参数说明访问方式选择“编程访问”。配置信息身份供应商 URL：https://kubernetes.default.svc.cluster.local。客户端 ID：指定插件需要配置指定的客户端ID，请参见表1。签名公钥：本地集群的 jwks，获取方法请参见1。涉及多个集群时，请用逗号分隔每个集群的keys数组内容。身份转换规则身份转换规则的作用将集群内的ServiceAccount和IAM用户组做映射。属性：sub 条件：any_one_of 值：值的格式为：system:serviceaccount:Namespace:ServiceAccountName 其中Namespace请修改为需要创建ServiceAccount的命名空间，ServiceAccountName请修改为需要创建的ServiceAccount名称。例如：值为system:serviceaccount:monitoring:log-agent-serviceaccount，表明在monitoring命名空间下创建一个名为log-agent的ServiceAccount，并映射到对应用户组，后续使用该 ServiceAccount获取的IAM Token就拥有了对应用户组的权限。说明：本地集群中的相关插件需要配置指定的 ServiceAccountName 和用户组权限才能正常工作，请参见表1。图3 创建身份转换规则单击“确定”。

华为云UCS 日志中心

华为云UCS-云原生日志采集插件:本地集群安装云原生日志采集插件

本地集群安装云原生日志采集插件登录UCS控制台，选择容器舰队，单击集群名称进入集群，在左侧导航栏中选择“插件中心”，在右侧找到云原生日志采集插件，单击“安装”。在安装插件页面，设置“规格配置”。表3 插件规格配置参数参数说明插件规格该插件可配置“小规格”、“大规格”或“自定义”规格。实例数选择上方插件规格后，显示插件中的实例数。选择“自定义”规格时，您可根据需求调整插件实例数。容器 log-agent插件包含以下容器，您可根据需求自定义调整规格： fluent-bit：日志收集器，以DaemonSet形式安装在每个节点。 cop-logs：负责采集侧配置文件生成及更新的组件。 log-operator：负责解析及更新日志规则的组件。 otel-collector：负责集中式日志转发的组件，将fluent-bit收集的日志转发到LTS。设置插件支持的“参数配置”。 Kubernetes事件上报AOM：采集Kubernetes事件并上报到应用运维管理 AOM，可在AOM配置事件告警规则。设置插件实例日志上报的“网络配置”。公网接入：通过公网Internet接入，要求集群能够访问公网，具有弹性灵活、成本低、易接入的优势。公网接入要求集群能够访问公网，请确保集群已符合此条件，否则会接入失败。云专线/VPN接入：通过云专线（DC）或虚拟专用网络（VPN）服务将云下网络与云上虚拟私有云（VPC）连通，并利用VPC终端节点通过内网与容器智能分析建立连接，具有高速、低时延、安全的优势。详情见本地集群使用云专线/VPN上报日志。完成以上配置后，单击“安装”。

华为云UCS 日志中心

华为云UCS-云原生日志采集插件:组件说明

组件说明表4 log-agent组件容器组件说明资源类型 fluent-bit 轻量级的日志收集器和转发器，部署在每个节点上采集日志。 DaemonSet cop-logs 负责生成采集文件的软链接，和fluent-bit运行在同一Pod。 DaemonSet log-operator 负责生成内部的配置文件。 Deployment otel-collector 负责收集来自不同应用程序和服务的日志数据，集中后上报至LTS。 Deployment

华为云UCS 日志中心

华为云UCS-云原生日志采集插件:自定义事件上报AOM

自定义事件上报AOM log-agent插件会将所有Warning级别事件以及部分Normal级别事件上报到AOM。您也可以根据需求自行设置需要上报的事件，具体方法如下：在集群上执行以下命令，编辑当前的事件采集配置。 kubectl edit logconfig -n kube-system default-event-aom 根据需要修改事件采集配置。 apiVersion: logging.openvessel.io/v1 kind: LogConfig metadata: annotations: helm.sh/resource-policy: keep name: default-event-aom namespace: kube-system spec: inputDetail: #采集端配置 type: event #采集端类型，请勿修改 event: normalEvents: #Normal级别事件采集配置 enable: true #是否开启Normal级别事件采集 includeNames: #需要采集的事件名，不指定则采集所有事件 - NotTriggerScaleUp includeNames: #不采集的事件名，不指定则采集所有事件 - NotTriggerScaleUp warningEvents: #Warning级别事件采集配置 enable: true #是否开启Warning级别事件采集 includeNames: #需要采集的事件名，不指定则采集所有事件 - NotTriggerScaleUp includeNames: #不采集的事件名，不指定则采集所有事件 - NotTriggerScaleUp outputDetail: type: AOM #输出端类型，请勿修改 AOM: events: - name: DeleteNodeWithNoServer #事件名，必选 nameCn: 废弃节点清理 #事件对应的中文名，不填则上报的事件直接显示英文 resourceType: Namespace #事件对应的资源类型 severity: Major #事件上报到AOM后的事件级别，默认Major。可选值：Critical：紧急；Major：重要；Minor：次要；Info：提示

华为云UCS 日志中心

华为云UCS-云原生日志采集插件:log-agent事件说明

log-agent事件说明在log-agent插件的安装和运行阶段，log-operator组件会上报事件，您可以根据这些事件来判断安装是否成功，并确定故障原因。具体如表6所示：表6 log-agent事件说明事件名称说明 InitLTSFailed 初始化LTS日志组日志流失败 WatchAKSKFailed 监听AKSK失败 WatchAKSKSuccessful 监听AKSK成功 RequestLTSFailed 请求LTS接口失败 InitLTSSuccessful 初始化LTS日志组日志流成功 CreateWebhookConfigFailed 创建MutatingWebhookConfiguration失败 CreateWebhookConfigSuccessful 创建MutatingWebhookConfiguration成功 StartServerSuccessful 开启监听成功 StartServerFailed 开启监听失败 StartManagerFailed 开启CRD监听失败 InjectAnnotationFailed annotation注入失败 InjectAnnotationSuccessful annotation注入成功 UpdateLogConfigFailed 更新logconfig信息失败 GetConfigListFailed 获取CR列表失败 GenerateConfigFailed 生成fluent-bit、otel配置失败

华为云UCS 日志中心

云服务器内容精选

华为云UCS

7*24

备案

专业服务

退订

建议反馈

售前咨询热线