检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
向容器舰队中添加集群 更新容器舰队描述信息 更新容器舰队关联权限策略 更新容器舰队的联邦对应的zone 获取容器舰队列表 启用容器舰队联邦 关闭容器集群联邦 查询联邦开启进度 创建联邦网络连接并下载联邦kubeconfig 创建联邦网络连接 下载联邦kubeconfig 父主题:
具体来说,MCS的应用场景非常广泛,典型的应用场景包括: 应用容灾:使用MCS,您可以在多个区域的不同集群中访问同一个Service,因此如果某个集群中应用不可用,访问请求可切换至其他集群进行处理。 服务共享:使用MCS,可以更便捷地在不同集群中访问公共服务(监控、日志系统等),无需为所有集群部署本地公共服务副本。
云审计服务(Cloud Trace Service,CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 图1 云审计服务
k8simagedigests 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 容器镜像必须包含digest。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints
Controller通过API定期查询工作负载的指标数据。 karmada-apiserver收到查询请求,会路由到之前通过API服务注册的karmada-metrics-adapter。 karmada-metrics-adapter收到查询请求,会查询并收集集群中工作负载的指标数据。
tekeeper插件。需要注意的是,插件会占用部分集群资源(如表1所示)。因此,在启用策略中心功能之前,请确保您的集群具有足够的资源。这将有助于确保策略中心功能的顺利部署,同时避免对现有工作负载的性能产生负面影响。 表1 Gatekeeper插件的资源占用情况 CPU Mem Requests:100m
登录UCS控制台,在左侧导航栏中选择“容器舰队”。 在“容器舰队”页签下找到已开通集群联邦的舰队,单击名称进入详情页。 在左侧导航栏中选择“工作负载”,切换至“守护进程集”页签,并单击右上角“镜像创建”。 若使用已有的YAML创建工作负载,请单击右上角“YAML创建”。 设置工作负载基本信息。
如果操作符的值是 Equal,则表示其key与value之间的关系是Equal(等于)。 如果不指定操作符属性,则默认值为Equal。 污点策略 全部:表示匹配所有污点效果。 NoSchedule:表示匹配污点效果为NoSchedule的污点。 NoExecute:表示匹配污点效果为NoExecute的污点。
图1 复制资源名称 登录UCS控制台,选择集群所在的区域,在筛选条件中选择“集群名称”,并输入图2中复制的资源ID即可查找到该集群所在舰队。 图2 查找集群 单击舰队名称,左侧导航栏选择“容器集群”,即可找到该集群。 单击该集群右上角的按钮,注销集群。 图3 注销集群 按需计
添加调度策略,本例中仅填写关键参数,其余参数保持默认,如表1所示。对不同地域的用户创建流量策略,可重复此步骤,并选择不同的集群和线路类型。 表1 调度策略关键参数 参数 参数说明 集群 选择一个状态为“运行中”的目标集群,列表中将自动获取UCS接管的所有集群。 命名空间 选择目标服
kubeconfig 表1 路径参数 参数 是否必选 参数类型 描述 clustergroupid 是 String 舰队id 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 表3 请求Body参数 参数
erations 表1 路径参数 参数 是否必选 参数类型 描述 clustergroupid 是 String 容器舰队id 表2 Query参数 参数 是否必选 参数类型 描述 retryjoinall 否 Boolean 是否重试集群加入联邦 请求参数 表3 请求Header参数
eid} 表1 路径参数 参数 是否必选 参数类型 描述 ruleid 是 String 权限策略id 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 最小长度:1 最大长度:16384 表3 请求Body参数
atedzones 表1 路径参数 参数 是否必选 参数类型 描述 clustergroupid 是 String 容器舰队id 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 表3 请求Body参数
、命名空间或其他特定条件,从而确保策略实例仅对满足这些条件的对象起作用。 表1为安全类策略定义,共16个,它们专注于确保集群和资源的安全性;表2为合规类策略定义,总共17个,它们针对不同方面的合规要求。 表1 安全类策略定义 策略定义名称 类型 推荐级别 生效对象 参数 k8spspvolumetypes
/v1/clustergroups/{clustergroupid}/associatedrules 表1 路径参数 参数 是否必选 参数类型 描述 clustergroupid 是 String 容器舰队ID 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token
权限策略描述信息 最小长度:0 最大长度:255 表5 Content 参数 是否必选 参数类型 描述 verbs 否 Array of strings 动作列表 resources 否 Array of strings 资源列表 响应参数 状态码: 201 表6 响应Body参数 参数 参数类型
/v1/clustergroups/{clustergroupid}/associatedclusters 表1 路径参数 参数 是否必选 参数类型 描述 clustergroupid 是 String 容器舰队ID 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token
至舰队2。 图2 授权方案 前提条件 账号已开通UCS服务,并且按照图1完成舰队、集群资源的准备工作。 按照图2完成权限数据的准备工作。 表1 IAM控制台数据准备 用户组 用户 权限 管理员用户组:UCS_Group_admin UCS_Group_admin_User1 UCS
ociatedrules 表1 路径参数 参数 是否必选 参数类型 描述 clusterid 是 String 集群id 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 表3 请求Body参数 参数 是否必选