检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
None 操作指导 统一身份认证服务 IAM 通过Explorer获取IAM用户Token 04:50 获取IAM用户Token 统一身份认证服务 IAM 创建用户组并授权操作流程 03:42 创建用户组并授权 统一身份认证服务 IAM 创建IAM用户操作流程 04:50 创建IAM
身份认证与访问 UCS支持IAM与Kubernetes的角色访问控制(RBAC)的精细的权限管理,实现UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下: UCS服务资源权限:是基于IA
在左侧导航栏,单击“服务安全”下的“对端认证”,进入对端认证详情页。 选定要更新的认证策略,单击操作列下的“YAML编辑”。 根据实际需求更新对端认证。例如:网格统一认证策略更新为命名空间统一认证策略,设置如下: apiVersion: security.istio.io/v1beta1 kind: PeerAuthentication
统一治理多集群流量 您可以通过UCS的流量分发功能,实现跨云、跨地域集群应用访问流量的智能调度,实现流量切分、灰度、故障倒换等不同功能。 前提条件 您需要将一个已有的Kubernetes集群添加至UCS,且集群接入网络,具体操作请参考步骤三:为容器舰队添加集群。 已添加的集群中已
UCS提供了跨云跨数据中心的大规模治理能力,统一接管自建IDC、边缘云、中心云资源,一站式分发调度,助力加速金融行业的业务创新。 算力统一供给 面对金融行业新兴的互联网类业务,UCS支持极速扩容和大规模治理,提供实现本地、边缘、云资源统一调度,有效应对流量冲击。 统一生态建设 UCS构建了标准的
统一身份认证 IAM Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。 SCP不直接进行授权,只划定权限边界。
如果您需要对购买的UCS资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全地控制资源的访问。 通过IAM
IAM用户配置UCS服务权限 应用场景 UCS在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对租户下的IAM用户设置不同的UCS资源权限,结合权限策略和舰队设计,可实现企业不同部门或项目之间的权限隔离。 例如,某公司同时推进两个项目组,每个项目组中有多名成员,权限分配如图1
图2 权限管理流程 基本概念说明 UCS权限管理包含如下基本概念,其关系如图3所示。 用户:由管理员账号在统一身份认证服务(IAM)中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。 用户组:用户组是用户的集合,IAM可以通过用户组功
详细的Karmada API信息请参见Karmada API。 UCS支持通过API网关调用Karmada API。 通过API网关调用Karmada API Karmada API 可以通过API网关调用,其URL格式为:https://{fleetname}.fleet.ucs
Turbo集群,为集群提供应用分发、流量管理、集群监控、应用数据管理等多种功能。 注册华为云集群 统一身份认证 IAM UCS在统一身份认证服务(IAM)能力基础上,为您提供细粒度的权限管理功能。 权限管理 云解析服务 DNS UCS对接云解析服务,获取解析域名,提供大规模流量治理能力,实现流量的灵活接入。
如何使用Istio API配置网关路由规则 ASM支持使用Istio API(Gateway, VirtualService, DestinationRule)配置网关、路由规则策略。本文介绍如何通过YAML创建资源对象启用该能力。 使用以下内容,保存为deployment.ya
统一身份认证服务 IAM IAM用户的AccessKey在指定时间内轮换 IAM策略中不授权KMS的禁止的action IAM用户组添加了IAM用户 IAM用户密码策略符合要求 IAM策略黑名单检查 IAM策略不具备Admin权限 IAM自定义策略具备所有权限 根用户存在可使用的访问密钥
] } 配置身份提供商 登录IAM控制台,创建身份提供商,协议选择OpenID Connect。 图2 创建身份提供商 单击“确定”,然后修改身份提供商信息,需要修改的信息如表1 身份提供商配置参数说明。若需要创建身份转换规则,单击“创建规则”进行创建。 图3 修改身份提供商信息 图4
统一下发多集群实例 您可以通过UCS提供的云原生服务中心功能快速为集群创建应用实例,支持华为云、边缘节点、分布式云的多场景部署。 本小节将指导您如何使用UCS快速部署一个CockroachDB应用至集群。 前提条件 您需要在UCS中添加一个1.19版本以上的Kubernetes集群,并且集群中至少拥有一个可用节点。
部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施,包括云安全战略、责任
本地集群KubeConfig文件 获取本地集群KubeConfig文件 KubeConfig是Kubernetes集群中组织有关集群、用户、命名空间和身份认证机制信息的配置文件,Kubectl使用KubeConfig来获取集群的信息并与API server进行通信。 获取本地集群的KubeC
客户自建IDC以及第三方云场景的Kubernetes集群统一接入管理。同时基于多云统一管理提供多云多集群的统一配置策略管理,支持企业级项目的租户权限管理,可精细化管理子账号对接入Kubernetes资源的访问权限。以及统一管理各个集群的安全策略和资源访问限制,便于多云多集群的合规
假设您是一家大型企业的平台工程师,负责整个基础设施环境的安全策略配置和管理,确保企业多个团队使用集群资源的合规性。利用UCS策略中心,您可以: 创建统一的策略实例:使用UCS策略中心创建一个统一的策略实例,包含所有团队需要遵循的安全和合规规定。这样一来,您可以确保所有团队在使用集群资源时遵循相同的标准。 自动化
Center,OSC)是面向服务提供商和服务使用者的云原生服务生命周期治理平台,提供大量的云原生服务,并使用自研部署引擎,支持所有服务包统一管理、统一存储、全域分发,帮助您简化云原生服务的生命周期管理。 UCS深度集成云原生服务中心的功能,可真正实现服务的开箱即用,有效提升云原生服务
UCS集群概述 UCS服务支持跨云、跨地域的集群统一接入、统一管理,支持接入如下几种集群类型: 华为云集群:包括华为云CCE集群和CCE Turbo集群。 本地集群:由UCS提供的、运行在您的数据中心基础设施之上的Kubernetes集群,如UCS on Bare Metal、UCS
lts:*:* 图1 修改身份提供商信息 单击“确定”,然后修改身份提供商信息,需要修改的信息如表2所示。随后创建身份转换规则,单击“创建规则”进行创建。 图2 修改身份提供商信息 表2 身份提供商配置参数说明 参数 说明 访问方式 选择“编程访问”。 配置信息 身份供应商 URL:https://kubernetes
容器舰队概述 容器舰队 舰队是多个集群的集合,您可以使用舰队来实现关联集群的分类。舰队还可以实现多集群的统一管理,包括权限管理、安全策略、配置管理以及多集群编排等统一管理的能力。 容器舰队使用限制 仅华为云账号且具备UCS FullAccess权限的用户可进行舰队的创建、删除操作。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
