检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
注册伙伴云集群(私网接入) 私网连接方式是通过云专线(DC)或虚拟专用网络(VPN)服务将云下网络与云上虚拟私有云(VPC)连通,并利用VPC终端节点通过内网与UCS服务建立连接,具有高速、低时延、安全的优势。 约束与限制 仅华为云账号或具备UCS FullAccess权限的用户可进行集群注册的操作
开通集群联邦 开通集群联邦 集群联邦和容器舰队绑定在一起,只需要为容器舰队一键开通集群联邦,就可以方便地操作集群联邦了。 集群联邦的开通包含两个阶段:一、开通集群联邦,二、集群接入联邦。容器舰队开通集群联邦能力后,容器舰队内的成员集群将自动接入联邦。 开通集群联邦有配额限制,并且对容器舰队中的集群有一些约束
发布舰队应用 本节将指导您通过流水线,结合上述步骤的调测、编排,实现从源码构建到舰队应用发布全流程的自动化体验。 配置流水线、运行参数和产物地址后,单击“运行”,即可执行流水线,实现编译构建和云原生发布。 图1 执行流水线 单击流水线阶段中的“发布”,并单击“任务结果”查看发布单。
1.18版本特性 支持Istio 1.18.7版本 支持v1.25、v1.27、v1.28、v1.29 、v1.30 CCE Turbo集群版本 支持v1.25、v1.27、v1.28、v1.29 、v1.30 CCE集群版本 支持 Kubernetes Gateway API 详细内容请参阅
curl -i --location --request POST 'https://{{iam endpoint}}/v3.0/OS-AUTH/id-token/tokens' --header 'X-Idp-Id: {{workload_identity}}' --header
k8spsphostnetworkingports 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages: 字符串数组 hostNetwork: max: 整型 min: 整型 作用 约束PodSecurityPolicy中的“
k8spsphostfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedHostPaths: readOnly: 布尔值 pathPrefix: 字符串 作用 约束PodSecurityPolicy中的“hostPath
通过kubectl连接集群联邦 本文介绍如何使用kubectl连接集群联邦。 权限说明 kubectl访问集群联邦是通过集群联邦上生成的配置文件(kubeconfig.json)进行认证。kubeconfig.json文件内包含用户信息,UCS根据用户信息的权限判断kubectl有权限访问哪些
如何清理策略中心相关资源? 对于已启用策略中心功能的集群,在以下场景中,可能会存在资源残留情况: 集群连接中断时,停用策略中心 集群停用策略中心过程中,连接中断 集群连接中断后,注销集群 集群连接中断后,移出舰队 因此需要执行如下命令,清理残留资源: kubectl delete
k8srequiredprobes 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: probes:数组 probeTypes:数组 作用 要求Pod具有Readiness或Liveness Probe。 策略实例示例 以下策略实例展示了策略定义生效的资源类型
访问日志各字段解读 sidercar会在标准输出中打印访问日志,istio 1.18及以上版本的访问日志提供JSON格式的内容,下面以如下istio日志为例对每个字段的含义进行解读,解读内容见下表。 { "start_time": "%START_TIME%", "route_name
监控风险安全 容器洞察提供基于Kubernetes原生类型的容器监控能力,全面监控集群的健康状态和负荷程度。 支持集群、节点、工作负载的资源全景。 支持节点的资源占用、工作负载的资源消耗。 展示近一小时的CPU/内存指标。 关于UCS监控风险安全的详细介绍,请参见容器洞察章节。 父主题
示例:某公司权限设计及配置 假设A公司在华为云使用UCS服务管理多集群,公司中有多个职能团队,分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用IAM和UCS的权限管理,可以实现精细化授权的目标。 图1 组织结构示意图 行管团队:负责管理公司所有资源的团队。 开发团队
k8spspprocmount 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 procMount:字符串 作用 约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例
k8spspapparmor 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: allowedProfiles:数组 exemptImages:字符串数组 作用 约束AppArmor字段列表。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters
对端认证 ASM服务通过端到端的PEP(Policy Enforcement Points)隧道实现服务实例之间的通信,对端认证定义了流量如何通过隧道(或者不通过隧道)传输到当前服务的实例。已经注入sidecar的服务实例之间,默认通过隧道进行通信,流量会自动进行TLS加密。对等身份认证可以控制对目标工作负载上双向认证的模式
k8sreplicalimits 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:* 参数: ranges: min_replicas: 整型 max_replicas: 整型 作用 要求具有“spec.replicas”字段的对象(Deployments、ReplicaSets
asm-iam-authenticator使用参考 asm-iam-authenticator作为k8s client端的认证插件,主要提供了generate-kubeconfig和token两个子命令。 A tool to authenticate to ASM using HuaweiCloud
UCS集群概述 UCS服务支持跨云、跨地域的集群统一接入、统一管理,支持接入如下几种集群类型: 华为云集群:包括华为云CCE集群和CCE Turbo集群。 本地集群:由UCS提供的、运行在您的数据中心基础设施之上的Kubernetes集群,如UCS on Bare Metal、UCS
访问日志的响应标记解读 UH(没有健康后端) 含义 UH(NoHealthyUpstream)表示上游服务没有健康的后端实例。 典型现象 目标服务的后端实例都不可用,如构造将目标服务的实例数设置为0。 典型日志 客户端日志。 应对建议 检查目标服务的负载配置,确认服务的实例均正常运行
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
