检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
设置集群网络 请参照设置集群网络对集群间网络互通进行检查与设置。 通过Kubectl命令创建MCS对象 使用kubectl连接集群联邦,详细操作请参见使用kubectl连接集群联邦。 创建并编辑 mcs.yaml 文件,文件内容定义如下所示,参数定义请参见表1。 vi mcs.yaml
Token。 使用IAMToken 访问云服务。 图1 使用工作负载Identity流程 获取本地集群私钥签发的jwks 使用kubectl连接本地集群。 执行如下命令获取公钥。 kubectl get --raw /openid/v1/jwks 返回结果为一个 json 字符串,
负载均衡器:仅支持集群所在VPC下的负载均衡实例。 分配策略: 加权轮询算法:根据不同的权重将请求分配到后端服务器。 加权最少连接:将请求分发给(当前连接/权重)比值最小的后端服务器进行处理。 源IP算法:将客户端IP请求固定分配给一台服务器,实现获取同一个session。 会话
ID2。 在华为云console控制台,单击右上角的账户名-我的凭证,查询对应区域的项目ID。 使用kubectl连接集群联邦,具体操作请参见使用kubectl连接集群。 分别创建并编辑对应两个Region的mci.yaml 文件。 创建MCI资源,文件内容定义如下所示,详细的参数定义请参见使用MCI。
云专线/VPN接入:通过云专线(DC)或虚拟专用网络(VPN)服务将云下网络与云上虚拟私有云(VPC)连通,并利用VPC终端节点通过内网与容器智能分析建立连接,具有高速、低时延、安全的优势。详情见本地集群使用云专线/VPN上报日志。 常见问题处理 插件中除log-operator外组件均未就绪,且出现异常事件“实例挂卷失败”。
权限。 使用拥有Tenant Administrator权限的用户,下载并配置好 KubeConfig 文件。详细请参见使用kubectl连接集群联邦。 将如下内容保存为list-deploy.yaml文件。 apiVersion: rbac.authorization.k8s.io/v1
集群标签 非必填项,以键值对的形式为集群添加标签,可以通过标签实现集群的分类。键值对可自定义,以字母或者数字开头和结尾,由字母、数字、连接符(-)、下划线(_)、点号(.)组成,且63个字符之内。 容器舰队 选择集群所属的舰队。 舰队用于权限精细化管理,一个集群只能加入一个舰
单击“确定”,待流量调度策略创建成功后,华东地区的用户将优先访问选定线路。 检验新增调度策略是否生效,参考怎样测试域名解析是否生效?。 您可以在华东地区使用已经连接Internet的终端,输入如下命令测试调度策略是否生效: nslookup demo.***.com 如果终端的操作系统没有自带nslo
TLS协议服务路由 在服务路由中,tls是一种TLSRoute类型的路由集合,用于处理非终结的TLS和HTTPS的流量,使用客户端在TLS握手阶段建立连接使用的服务Host名做路由选择。 表2 TLS协议服务路由参数 匹配条件参数 sniHost 用于匹配TLS请求的SNI。SNI的值必须是服务路由的hosts的子集
升级操作 登录UCS控制台,选择“容器舰队”或“未加入舰队的集群”内一个正在运行的低版本集群,单击右下方“升级集群”。 下载更新工具,请使用一台能连接集群的节点作为执行机,先使用如下命令下载新版本的集群管理工具: curl https://ucs-onprem.obs.XXXX.huawei
创建流量策略 参考创建流量策略,为新添加的域名添加调度策略。 图3 调度策略 检验新增调度策略是否生效。 以Linux系统为例,您可以在已经连接Internet的终端的命令窗口使用如下命令测试调度策略是否生效,命令格式如下: dig 目标域名 如果Linux终端的操作系统没有自带d
beconfig文件,请参见kubeconfig。 注意: 下载kubeconfig文件时,需要选择部署集群所在的VPC,或者通过云连接、对等连接等方式打通到集群网络的VPC。 若kubeconfig文件中的联邦控制面地址为域名,则需要在部署文件中配置hostAliaes。 hostAliases
网关实例”,进入网关实例列表页面。 单击右上角“YAML创建”,弹出服务网关YAML创建界面。 在801端口上创建负载均衡器,用于接收HTTP连接,只处理HTTP协议的流量(根据实际需求调整配置参数): apiVersion: gateway.networking.k8s.io/v1beta1
单击待接入集群栏的“公网接入”,下载集群代理agent的配置文件。 集群代理配置存在私有秘钥信息,每个集群代理配置仅能下载一次,请您妥善保管。 使用kubectl连接集群,使用如下命令在集群中创建一个名为“agent.yaml”的YAML文件(该文件名称可自定义),并将2中的agent配置内容粘贴到YAML文件中。
} 详细的参数说明请参见“auth.json”文件。 准备镜像列表文件:images.json。 通过kubectl连接源集群。具体方法可参考使用kubectl连接集群。 执行镜像迁移config子命令,生成images.json文件。 您可以参考image-migrator c
} 详细的参数说明请参见“auth.json”文件。 准备镜像列表文件:images.json。 通过kubectl连接源集群。具体方法可参考使用kubectl连接集群。 执行镜像迁移config子命令,生成images.json文件。 您可以参考image-migrator c
单击已开通集群联邦的舰队名称,进入详情页面。 在左侧导航栏选择“联邦管理 > 域名访问”,列表中的“域名地址”即为域名访问地址。 图7 域名地址 在一台已连接公网的机器上执行如下命令,持续访问域名地址,查看集群应用处理状态。 正常情况下,两个集群上的应用均接收流量,并且各处理50%流量。 while
k8sdisallowanonymous 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:RoleBinding、ClusterRoleBinding 参数: allowedRoles:字符串数组 作用 不允许将白名单以外的ClusterRole和Role关联到system:anonymous
策略定义库概述 UCS为您提供了预置的策略定义库,通过这个库,您可以创建具体的策略实例,进而将策略实例定义细节的任务委托给具备专业知识的个人或团队。这种做法不仅实现了关注点的隔离,还将策略实例的逻辑与定义进行了分离。 为了帮助您更好地理解策略定义的工作原理,每个预置策略定义都包含
noupdateserviceaccount 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:* 参数: allowedGroups:数组 allowedUsers:数组 作用 拒绝白名单外的资源更新ServiceAccount。 策略实例示例 以下策略实例展示了策略定义
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
