检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另
网关证书 控制台创建网关证书 登录UCS控制台,单击左侧导航栏中的“服务网格”,进入服务网格列表页。 单击服务网格名称,进入服务网格详情页。 在左侧导航栏,单击“服务网关 > 网关证书”,进入网关证书列表页面。 单击右上角“创建网关证书”,弹出创建网关界面。 填写配置参数,单击右下角“确定”,完成网关证书创建。
root,xxx,password 登录AWS控制台,编辑安全组{cluster_name}-node,将该安全组放通22端口,以保证可以访问。 开启密码访问,登录集群内所有节点,执行以下命令。 sed -i 's/PasswordAuthentication no/PasswordAuthentication
10.247.0.1 其中ucs_endpoint为server访问地址,可通过以下方式获取。 cat /var/paas/srv/kubernetes/kubeconfig | grep server 执行证书更新。 cd /root/ucs ./ucs-ctl kcm update-cert
访问日志各字段解读 sidercar会在标准输出中打印访问日志,istio 1.18及以上版本的访问日志提供JSON格式的内容,下面以如下istio日志为例对每个字段的含义进行解读,解读内容见下表。 { "start_time": "%START_TIME%", "route_name":
在“容器舰队”页签下找到已开通集群联邦的舰队,单击名称进入详情页。 选择“域名访问”,单击访问名称,进入域名访问详情界面。 在“拓扑图”页签下,单击“编辑”。 修改完成后,单击“确定”。 查看域名访问地址 域名访问创建完成后,可以在域名访问列表中,查看域名访问地址。 登录UCS控制台,在左侧导航栏中选择“容器舰队”。
访问日志 服务网格提供了访问日志查询能力,可对网格中数据面所有Proxy的AccessLog进行采集。本文介绍如何查看采集的访问日志。 网格需已“启用访问日志”能力,如何开启请参考启用网格。 操作步骤 登录UCS控制台,单击左侧导航栏中的“服务网格”,进入服务网格列表页。 单击服务网格名称,进入服务网格详情页。
服务网关概述 服务网关是网格的流量入口。网格外部的客户端通过服务网关访问网格内的服务。 服务网关描述了外部访问端口、协议和证书等配置。同时,通过在服务网关上配置路由规则可以对网关入口流量进行管理,对于不同的访问协议可以配置不同的路由。 图1 服务网关 目前默认是基于Kubernetes
示上游连接失败。 典型场景 目标服务的服务端口不通。如客户端通过错误的端口访问目标服务时,会导致服务访问失败,客户端代理的Outbound日志会记录503UF。 目标服务的服务实例端口不通,会导致服务访问失败,同时服务端Inbound日志会记录503UF。 典型日志 服务端口错误的客户端出流量日志。
部署应用并配置ServiceAccount。 挂载对应ServiceAccount的Token。 验证获取的Token能否正常进行访问。 访问IAM接口获取IAM Token。 使用IAMToken 访问云服务。 图1 使用工作负载Identity流程 获取本地集群私钥签发的jwks 使用kubectl连接本地集群。
身份认证与访问 UCS支持IAM与Kubernetes的角色访问控制(RBAC)的精细的权限管理,实现UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下: UCS服务资源权限:是基于IA
该API接口用于获取集群接入信息;传入的cluster ID必须符合k8s UUID的格式规则;同时需要用户有对应集群证书的获取权限,否则会鉴权失败;agent证书只可以下载一次。仅用于获取三方集群的集群接入信息,CCE集群不从该接口获取,如果传入CCE集群ID,返回码为400 URI
-50字符。 访问类型:选择“节点访问 NodePort”。 服务亲和: 集群级别:集群下所有节点的IP+访问端口均可以访问到此服务关联的负载,服务访问会因路由跳转导致一定性能损失,且无法获取到客户端源IP。 节点级别:只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负
命名空间:路由所在命名空间。 TLS配置: 服务器证书:选择IngressTLS类型的服务器证书。若无符合条件的证书,可单击“创建IngressTLS类型的密钥证书”,请参考创建密钥创建一个指定类型的密钥证书。如需获取TLS证书,请参考如何获取TLS密钥证书?。 SNI(Server Name
通过MCI访问服务失败,如何排查? 若您在创建MCI后访问服务失败,请检查MCI对象是否配置成功。 请登录ELB控制台,根据MCI绑定的ELB实例ID,找到并单击对应的ELB实例名称进入elb监听器页面,找到对应的监听器单击“添加/编辑转发策略”,进入ELB监听器的转发策略页面,
选择“安全凭据” 在“访问密钥”区域中,单击“创建访问密钥”。如果您已经有两个访问密钥,则此按钮将被停用,您必须先删除一个访问密钥,然后才能创建新的访问密钥。您也可以使用已有的密钥来创建UCS on AWS集群。 图2 创建访问密钥 在“检索访问密钥”页面上,单击“显示”获取用户的秘密访问密钥的值,或单击“下载
start httpd 在浏览器中访问${服务器A_IP}:88,页面显示“This is a test page”。 ELB配置监听端口如30088端口,转发至服务器A的88端口,并开启源地址透传。 在服务器A上通过ELB内网ip访问该http服务: curl -v ${ELB_IP}:30088
如何配置UCS控制台各功能的访问权限? 问题描述 UCS控制台的各项功能主要通过IAM进行权限控制,未经授权的用户访问UCS控制台中相应的页面,将出现“无访问权限”、“权限认证失败”等类似错误信息。 解决方案 管理员需要为用户授予UCS控制台各功能的权限,通过IAM系统策略(包括UCS
集群内访问(ClusterIP) 集群内访问表示工作负载暴露给同一集群内其他工作负载访问的方式,可以通过“集群内部域名”访问。集群内部域名格式为“<自定义的访问方式名称>.<工作负载所在命名空间>.svc.cluster.local”,例如“nginx.default.svc.cluster
Ingress使用弹性负载均衡作为流量入口对外提供访问,在四层负载均衡访问方式的基础上支持了URI配置,通过对应的URI将访问流量分发到对应的服务。用户可根据域名和路径对转发规则进行自定义,完成对访问流量的细粒度划分。该访问方式由公网弹性负载均衡ELB服务地址、设置的访问端口、定义的URI组成,例如:10
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
