检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
访客:预留的只读权限团队,指那些仅具有查看资源权限的人员。 通过表1,给公司不同的职能团队设置不同的权限,可以实现各团队之间权限隔离,各司其职。 表1 权限设置 职能团队 需要授予的策略 权限说明 行管团队 UCS FullAccess UCS服务管理员权限,拥有该权限的用户拥有服务的所有权限(包含制定权限策略、安全策略等)。
中的舰队信息,完成跨服务的权限对接以及应用发布。配置服务扩展点的操作步骤如下。 在Scrum项目首页左侧的导航栏中选择“设置>通用设置”。 图4 选择通用设置 单击“服务扩展点管理”,并单击“新建服务扩展点”,在下拉菜单中选择“IAM账户”。 图5 配置服务扩展点 在服务扩展点中
告警规则”。 单击“添加告警”,输入规则名称如“插件pod指标监控”,选择规则类型为“阈值规则”,选择监控对象为“选择资源对象”。 单击“选择资源对象”按钮,添加方式选择“按指标维度添加”,指标名称下拉选择“云服务指标”>“CCE”>“POD”>“状态”。 指标维度选择“集群名称”为网格
k8spsphostnetworkingports 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages: 字符串数组 hostNetwork: max: 整型 min: 整型 作用 约束PodSecurityPolicy中的
群节点数 * Pod规模”的计算值进行插值查找,向上取最接近规格的申请值及限制值。 例如2000节点和2w个Pod的场景下,“目标节点数 * 目标Pod规模”等于4000w,向上取最接近的规格为700/7w(“集群节点数 * Pod规模”等于4900w),因此建议CPU申请值为4000m,限制值为5500m。
网格代理 代理模式概述 sidecar-proxy 网格代理将会被安装在网格中每个Pod的Sidecar,通过在每个Pod独立的网络命名空间设置iptables规则,将应用服务的出入流量重定向到Sidecar的Envoy进程上,由Envoy进行流量路由。 图1 sidecar-proxy
健康状况,详情请参见设置容器健康检查。 环境变量:容器运行环境中设定的一个变量,通过环境变量设置的配置项不会随着Pod生命周期结束而变化,详情请参见设置环境变量。 数据存储:配置容器存储,可以使用本地存储和存储卷声明(PVC)。建议使用PVC将工作负载Pod数据存储在云存储上。若
另外两个为项目组A、B所对应的用户组(用户组1、2),分别授予UCS FullAccess和UCS CommonOperations权限。 第二步授权(UCS控制台):拥有UCS FullAccess权限的UCS管理员分别为用户组1、用户组2创建各自的管理员权限、只读权限,然后关联到舰队上。
Token访问Kube APIServer;同时,不对UCS的系统策略(UCS FullAccess、UCS CommonOperations、UCS CIAOperations和UCS ReadOnlyAccess)进行识别。 对于多云集群,目前只有华为云账号可以执行集群注册的操作,暂不支持IAM系统策略。
本章节以“只读权限”为例,介绍为用户授予Kubernetes资源权限的方法,操作流程如图1所示。 UCS的集群操作权限设置仅对非华为云集群生效。对于华为云集群(CCE集群、CCE Turbo集群)的操作权限以IAM权限或者CCE RBAC权限为准。 授权流程 图1 给用户授予Kubernetes资源权限流程 创建用户。
容忍策略 容忍策略允许调度器将Pod调度至带有对应污点的节点上,需要与节点污点配合使用。每个节点可以添加一个或多个污点,对于未设置节点容忍策略的Pod,调度器会根据集群上的污点效果进行选择性调度,以避免Pod被分配到不合适的节点上。 通过控制台配置容忍策略 登录UCS控制台。 在
ReadOnlyAccess权限(IAM服务的只读权限),用于获取IAM用户列表。 UCS FullAccess + IAM ReadOnlyAccess 只读权限 查看权限列表或详情 UCS ReadOnlyAccess + IAM ReadOnlyAccess 策略中心 管理员权限
在左侧导航栏,单击“服务网关 > 网关证书”,进入网关证书列表页面。 单击右上角“YAML创建”,弹出YAML创建网关界面。 设置YAML参数值,单击右下角“确定”按钮,完成网关证书创建。 YAML设置参考如下(根据实际需求调整配置参数): apiVersion: v1 data: tls.crt:
-n kube-system describe pod proxy-agent-***查看Pod的告警信息,详细排查思路可参考proxy-agent部署失败怎么办?。 proxy-agent默认部署两个Pod实例,存在一个Pod正常Running即可使用基本功能,但是高可用性无法保证。
--user-name USER_NAME 子用户名 --password PASSWORD 用户密码 --ak ACCESS_KEY_ID Access Key --sk SECRET_ACCESS_KEY Secret Key --cache CREDENTIAL_CACHE 是否开启缓存Token
(可选)对于本地集群来说,注销集群成功后,您可以手动执行卸载命令,在本地主机环境中删除集群,清理资源: ./ucs-ctl delete cluster [集群名称] 如果命令执行失败,请参考如何手动清理本地集群节点?处理。 删除舰队 如果容器舰队不再使用,可以将其删除。删除时有两个限
hosts: - ratings.prod.svc.cluster.local http: - route: - destination: host: ratings.prod.svc.cluster.local subset: v1
E-Backup是云原生存储系统(Everest2.0)中负责云原生应用数据保护的子系统。它支持用户将应用数据(k8s资源)和业务数据(pv卷中的数据)备份到OBS桶中,也允许用户将某次备份数据恢复到指定的K8s集群中。 E-Backup通过备份和恢复两个子功能提供对以下使用场景的支持: 单集群下的容灾
later 问题原因:联邦需要访问CCE集群的5443端口,但是CCE集群的控制面安全组入方向规则不允许124.70.21.61(源地址)访问CCE集群的5443端口。 解决方案:修改CCE控制面入方向安全组,允许124.70.21.61(源地址)访问CCE集群的5443端口。 现象四
定和请求卡顿。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: my-productpage-rule namespace: istio-system
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
