检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
概述 流量治理是Istio的核心功能,其目标是提供非侵入的流量治理能力,用户仅仅关注自己的业务逻辑,无需关注服务访问管理。流量治理要解决的问题类似如下: 动态修改服务间访问的负载均衡策略,比如配置一致性哈希将流量转发到特定的服务实例上。 同一个服务有两个版本在线,将一部分流量切到某个版本上。
并以“负载均衡”类型的服务对外提供访问。5中的域名访问创建成功后,系统自动为所选择的根域名添加解析记录,并且在UCS侧生成一个统一的对外访问路径(域名地址),因此,我们通过访问这个域名地址就可以验证流量的分配情况。 获取域名访问地址。 登录UCS控制台,选择左侧导航栏中的“容器舰队”。
USER_NAME 子用户名,即IAM用户名。若不配置与domain-name一致。 详情请参见https://support.huaweicloud.com/usermanual-ca/ca_01_0001.html。 password PASSWORD 用户或子用户密码。 表2 AK/SK配置
M用户必须同时拥有UCS系统策略权限和集群资源对象操作权限,才可以获取集群信息。您需要联系管理员按照图1所示流程为自己授权。 图1 授权示意图 管理员登录IAM控制台,为IAM用户所在用户组授予UCS系统策略权限。 根据操作范围选择授予何种系统策略。例如:查询集群、舰队的列表或详
行的低版本集群,单击右下方“升级集群”。 下载更新工具,请使用一台能连接集群的节点作为执行机,先使用如下命令下载新版本的集群管理工具: curl https://ucs-onprem.obs.XXXX.huawei.com/toolkits/ucs-ctl/ucs-ctl -o ucs-ctl
连接池 在更新流量策略内容时,可选择是否开启。 目的是断开超过阈值的连接和请求,保护目标服务。 通过连接池管理可以配置阈值来防止一个服务的失败级联影响到整个应用。连接池设置应用于上游服务的每个实例,可以应用在TCP级别和HTTP级别。 通过连接池管理可以控制service1服务对目标服务service2的请求:
apiEndpoint String apiserver地址 secretRef LocalSecretReference object 访问集群的secret信息 insecureSkipTLSVerification Boolean 是否跳过https校验 proxyURL String
的安装地址。 图2 ucs-ctl下载地址 将如下命令中的下载地址替换为1中所记录的地址,然后执行命令,以下载sha256 校验文件。 curl 下载地址.sha256 -o ucs-ctl.sha256 # 将该校验文件移动至ucs-ctl 同目录下,执行如下命令,以校验工具的完整性。
实例删除 删除实例后,实例相关的K8s资源将会被自动删除,例如实例绑定的存储资源等。删除操作将不可逆,请您务必在删除前做好确认工作。 通过“服务实例”页面完成删除 登录UCS控制台,在左侧导航栏中选择“云原生服务中心”,单击“服务实例”页签。 选择目标服务,单击操作栏的“删除”。
扩展点连接名称。可自定义,本示例中为IAM01。 Access Key Id 访问密钥ID,获取方法请参见获取访问密钥AK/SK。 Secret Access Key 秘密访问密钥,获取方法请参见获取访问密钥AK/SK。 父主题: 流水线
开通成功后,容器舰队顶部的提示信息变为“集群联邦能力已开通 ,集群接入成功”。 添加集群 容器舰队开通集群联邦后,可以继续为舰队添加集群,添加后,集群会自动接入集群联邦。一个集群联邦最多可接入20个集群。 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 在目标舰队栏中单击“添加集群”,或单击右上角的按钮。
网格管理 概述 启用网格 为网格添加集群 网格代理 使用kubectl连接网格控制面 版本特性 父主题: 服务网格
ASM服务通过端到端的PEP(Policy Enforcement Points)隧道实现服务实例之间的通信,对端认证定义了流量如何通过隧道(或者不通过隧道)传输到当前服务的实例。已经注入sidecar的服务实例之间,默认通过隧道进行通信,流量会自动进行TLS加密。对等身份认证可以控制对目标工作负载上双向认证的模式。
操作联邦时,后者生效。 在集群联邦和成员集群上分别创建的RBAC资源互相不感知、不影响。通过集群联邦入口配置的RBAC权限仅直接访问联邦时生效;直接访问成员集群时,仅成员集群上配置的RBAC生效。 在分配细粒度鉴权时,谨慎使用ClusterRole、ClusterRoleBind
json”文件 “auth.json”为镜像仓库访问权限文件,其中每个对象为一个registry的用户名和密码。通常源镜像仓库需要具有pull以及访问tags权限,目标镜像仓库需要拥有push以及创建仓库权限。如果是匿名访问镜像仓库,则不需要填写用户名、密码等信息。“auth.json”文件的结构如下:
和节点访问(NodePort)。 Service名称:新增服务名称,用户可自定义,服务名称必须唯一。 访问类型: 集群内访问(ClusterIP):只能集群内访问服务。 节点访问(NodePort):可以通过集群内任意节点访问到服务。 服务亲和(仅节点访问设置): 集群级别:集群
重新安装会发生更改。 登录集群控制台。 在左侧导航栏中单击“插件管理”,在可安装插件栏中单击E-Backup插件下的“安装”按钮。 参照表1进行插件规格配置。 表1 E-Backup插件规格配置 参数 参数说明 插件规格 单实例部署。 容器 设置插件容器实例的资源配额。 velero:提供K8s元数据备份/恢复支持。
管理本地集群节点 本小节介绍如何通过ucs-ctl工具管理本地集群节点。 ucs-ctl是管理UCS本地集群的命令行工具,ucs-ctl的详细介绍请参见使用ucs-ctl命令行工具管理本地集群。 纳管节点 在执行机上使用./ucs-ctl config generator -t node
kube/config。kubeConfig文件:用于配置对Kubernetes集群的访问,KubeConfig文件中包含访问注册Kubernetes集群所需要的认证凭据以及Endpoint(访问地址),详细介绍可参见Kubernetes文档。 -s, --api-server:Kubernetes
管理容器舰队 本小节为您介绍创建容器舰队并为其添加集群、关联权限,移出、注销舰队中的集群和删除容器舰队的具体操作步骤,指导您使用UCS容器舰队能力。 创建舰队 登录UCS控制台,在左侧导航栏中选择“容器舰队”,在“容器舰队”页签下单击“创建容器舰队”。 填写舰队信息。 图1 创建容器舰队
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
