检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
流量策略概述 流量策略要解决的问题类似如下: 动态修改服务间访问的负载均衡策略,比如配置一致性哈希将流量转发到特定的服务实例上; 同一个服务有两个版本在线,将一部分流量切到某个版本上; 服务保护,如限制并发连接数、限制请求数、隔离有故障的服务实例等; 动态修改服务中的内容,或者模拟一个服务运行故障等。
于安装节点获取节点清理脚本。 在解压后的“/var/paas/.ucs-package/ucs-onpremise/scripts/”目录下,即可获取清理脚本uninstall_node.sh。 将清理脚本拷贝到待清理的节点。 登录到待清理的节点上,执行以下命令进行清理操作: bash
点上已存在的Pod驱逐。 容忍度(Toleration)说明 容忍度应用于Pod上,允许(但并不要求)Pod调度到带有与之匹配的污点的节点上。 污点和容忍度相互配合,可以用来避免Pod被分配到不合适的节点上。每个节点上都可以拥有一个或多个污点,而对这些污点没有设置容忍度的Pod,将不会被调度到该节点上。
开启多集群健康监控 您可以使用UCS的容器智能分析能力为集群开启监控,以实时监控与守护集群的健康状态。 本小节将指导您如何快速为附着集群开启监控。 前提条件 准备一个云上虚拟私有云(VPC),并将集群的第三方云厂商网络环境与该VPC连通,具体可以选用如下两种方案: 虚拟专用网络(
单击新创建VPCEP的ID,查看自动分配的节点IP。 图3 VPCEP详情 登录接入异常集群的Master节点。 编辑proxy-agent中配置的IP信息。 kubectl edit deploy -n kube-system proxy-agent 修改hostAliases字段下的IP:
使用集群联邦实现应用多活容灾 应用场景 为了应对云单点宕机故障,UCS的集群联邦提供多云多活应用、秒级流量接管能力。业务应用的实例可以多云多活的部署在不同云上的容器服务中,当云单点宕机故障发生时,集群联邦可以秒级自动完成应用实例的弹性迁移以及流量的切换,业务的可靠性大大提升。 多活容灾方案示意如图1所示,
本小节介绍FederatedHPA和CronFederatedHPA策略的使用流程。 FederatedHPA策略使用流程 FederatedHPA策略的使用流程如图1所示,具体流程如下: 图1 FederatedHPA使用流程 负载伸缩能力基于部署在多集群上的工作负载,因此在创建负载伸缩策略前,您需要添加
头域控制 开启头域控制,可以灵活增加、修改和删除指定HTTP头域,非侵入方式管理请求内容。只支持路由上的头域操作,暂不支持对于特定后端的头域操作。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService
通。其中,跨VPC的CCE集群间网络可以通过创建对等连接的方式打通。 本文将介绍如何通过创建对等连接的方式,为跨VPC的CCE集群打通节点间与容器间网络。 设置集群网络类型 将集群的网络类型设置为underlay以支持集群间Pod通信。支持underlay网络的CCE集群类型如下:
作负载的标签,单击“引用负载标签”,在弹出的窗口中选择负载,然后单击“确定”。 端口配置: 协议:请根据业务的协议类型选择。 服务端口:容器端口映射到集群虚拟IP上的端口,用虚拟IP访问工作负载时使用,端口范围为1-65535,可任意指定。 容器端口:工作负载程序实际监听的端口,
项目组A在开发过程中需要舰队1、2的管理员权限以及舰队3的只读权限。 项目组B在开发过程中需要舰队1、3的管理员权限以及舰队2的只读权限。 图1 权限设计 方案介绍 要想实现上述的权限隔离,必须结合使用IAM系统策略和UCS权限管理功能,IAM系统策略控制用户可操作哪些UCS控制台的功能,UCS权限管理控制用户可操作哪些舰队和集群资源。
约束PodSecurityPolicy上的“seccomp.security.alpha.kubernetes.io/allowedProfileNames”注解。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中allowedProfiles定义了允许的注解。 apiVersion:
中心编辑对应插件。 选择对应的VPC终端节点。若不存在可用的VPC终端节点,单击“创建终端节点”以创建VPC终端节点。再次提交工单云日志服务(LTS)的VPC终端节点需要经过LTS服务审批,操作方法请参见步骤一:云日志服务VPC终端节点授权。 创建的VPC终端节点需要和本地集群节点在同一个虚拟私有云或建立对等连接。
es集群上的无状态负载(Deployment)进行流量治理和流量全方位监控,将服务加入网格后,可以实现服务的灰度发布、限流、熔断、会话保持等流量治理能力以及一站式、图形化拓扑的流量健康与性能、调用链监控。本节介绍如何为网格添加服务和删除服务。 约束与限制 拥有一个可用的集群,且已启用Istio服务网格。
- 对于集群中的自定义资源,在集群联邦中注册该CRD后,才可支持通过集群联邦入口进行操作。 Ingress对象的UPDATE和PATCH操作仅支持集群联邦控制面中的资源,不支持成员集群中的资源。 常见问题 如果您在访问联邦资源时出现如下错误提示,说明您没有对应资源的操作权限,请参考集群联邦RBAC授权添加授权。
查看舰队总览。您可以选择一个容器舰队或未加入舰队的集群,查看所选范围内已开启监控的集群、以及集群中的节点、负载总览信息。 本小节操作指导均以查看容器舰队的总览信息为例,若您需要查看未加入舰队集群的总览信息,请在容器洞察页面选择“其他 > 未加入舰队集群”,查看全部未加入舰队的集群、以及集群中的节点、负载总览信息。
tes中实现Pod水平自动伸缩的功能。该策略在Kubernetes社区HPA功能的基础上,增加了应用级别的冷却时间窗和扩缩容阈值等功能。 前提条件 使用HPA前需要在集群内安装能够提供Metrics API的插件(详情请参见对Metrics API的支持): metrics-se
华为云:负责云服务自身的安全,提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全,涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身,也包括运维运营安全,以及更广义的安全合规遵从。
服务授权 服务授权用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。服务授权通过负载选择器Selector选择目标负载。认证的规则通过JWTRule来描述,定义如何匹配JWT令牌上的认证信息。 创建服务授权 支持YAML创建服务授权。 登录UCS控制台,在左侧导航栏中单击“服务网格”。
UCS支持IAM与Kubernetes的角色访问控制(RBAC)的精细的权限管理,实现UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下: UCS服务资源权限:是基于IAM系统策略的授权。UCS服务资源包
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
