检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务授权 服务授权用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。服务授权通过负载选择器Selector选择目标负载。认证的规则通过JWTRule来描述,定义如何匹配JWT令牌上的认证信息。 创建服务授权 支持YAML创建服务授权。 登录UCS控制台,在左侧导航栏中单击“服务网格”。
CORS 当一个资源向该资源所在服务器的不同的域发起请求时,就会产生一个跨域的HTTP请求。出于安全原因,浏览器会限制从脚本发起的跨域HTTP请求。通过跨域资源共享CORS机制可允许Web应用服务器进行跨域访问控制,使跨域数据传输安全进行。 YAML设置如下: apiVersion:
"AL" } } 响应示例 无 状态码 状态码 描述 200 集群信息更新成功 400 客户端请求错误,服务器无法执行请求 403 服务器拒绝执行请求 500 服务器内部错误 错误码 请参见错误码。 父主题: UCS集群
日志正常打印后,刷新UCS控制台页面,查看集群是否正常连接。 私网接入: 检查集群安全组的出方向是否放通。如需对出方向做访问控制,请联系技术支持获取目的地址和端口号。 排除集群与UCS和IDC之间的网络连接故障。 根据网络连接方式不同,请参考以下文档进行故障排除。 云专线(DC):请参考故障排除。 虚拟专用网络(VPN):请参考故障排除。
挂载对应ServiceAccount的Token。 验证获取的Token能否正常进行访问。 访问IAM接口获取IAM Token。 使用IAMToken 访问云服务。 图1 使用工作负载Identity流程 获取本地集群私钥签发的jwks 使用kubectl连接本地集群。 执行如下命令获取公钥。 kubectl get
的安全组,单击安全组名称,查看安全组详情。 标准版cce集群需放通node安全组,turbo集群要放通node安全组和eni安全组。 单击“入方向规则”,单击“添加规则”,填写“协议端口”和“IP地址”信息,单击“确定”。用于放通其他region连接控制面istiod与控制面kubeapiserv
关联服务 关联服务呈现了当前服务与上下游服务间的关系,增强了网格的可观测性能力,提升了网格应用管理的易用性。本节介绍如何查看网格中某服务的关联服务。 网格须开通AOM服务,否则无法查看关联服务。 操作步骤 登录UCS控制台,单击左侧导航栏中的“服务网格”,进入网格列表页。 单击服务网格名称,进入服务网格详情页。
的安全组,单击安全组名称,查看安全组详情。 标准版cce集群需放通node安全组,turbo集群要放通node安全组和eni安全组。 单击“入方向规则”,单击“添加规则”,填写“协议端口”和“IP地址”信息,单击“确定”。放通来自另一个VPC网段以及对应集群的容器网段的请求。(在对端VPC安全组做同样的操作)
ASM服务通过端到端的PEP(Policy Enforcement Points)隧道实现服务实例之间的通信,对端认证定义了流量如何通过隧道(或者不通过隧道)传输到当前服务的实例。已经注入sidecar的服务实例之间,默认通过隧道进行通信,流量会自动进行TLS加密。对等身份认证可以控制对目标工作负载上双向认证的模式。
本地集群KubeConfig文件 获取本地集群KubeConfig文件 KubeConfig是Kubernetes集群中组织有关集群、用户、命名空间和身份认证机制信息的配置文件,Kubectl使用KubeConfig来获取集群的信息并与API server进行通信。 获取本地集群的KubeCo
含小写英文字母、数字和中划线(-),并以小写英文字母开头,小写英文字母或数字结尾。 对外协议:HTTP、TCP、TLS、HTTPS四种协议选择一种即可。 对外端口:输入值必须在1到65,535之间。必须保证该端口未被所选的负载均衡实例监听器端口占用。 入口地址(可选):请输入域名
调度策略:可基于访问位置和业务策略对流量进行调度,详见4。 单击按钮,添加一个调度策略后单击“确定”,如图1所示。如需为同一域名添加不同的调度策略,请重复此步骤,也可在创建完成后继续添加。 图1 添加调度策略 集群:选择一个状态为“运行中”的目标集群,列表中将自动获取UCS接管的所有集群。
IAM用户登录UCS无法获取集群或舰队怎么办? 问题描述 IAM用户登录UCS控制台,前往“容器舰队”页面后,无法获取已创建的舰队和已注册的集群(“容器舰队”和“未加入舰队的集群”页面均为空)。 解决方案 大多数IAM用户无法获取集群的问题,都和权限未设置或者设置不正确有关,IA
电商直播客户在特定的直播时间段,或在促销、限时秒杀等活动期间,会遇到用户访问量激增的情况,导致服务器资源紧缺,业务时延增大。 为应对业务高峰期的流量冲击,UCS提供了智能的分布式流量治理和算力调度管理能力,灵活分配业务流量和边云资源,有效提升业务稳定性和用户体验。 优势 用户就近接入 根据用户所属区域,实现智能路由、就近接入,减少业务端到端时延。
server>替换为联邦控制面地址域名。 获取联邦控制面地址域名请查看kubeconfig文件中的server字段,如下图: 将<ip of host name of karmada server>替换为联邦控制面IP地址。 获取联邦控制面IP地址:请登录至需要部署CPD组件的集群节点上,执行ping
用备份和应用迁移,即备份源Region集群中应用,然后通过数据恢复的方式迁移至目标Region集群。 k8clone是一个简便的Kubernetes元数据克隆工具,它可以将Kubernetes元数据(对象)保存为本地压缩包,然后将这些元数据恢复到目标集群中。 约束限制 当前不支持高版本集群应用向低版本集群迁移。
入的值转换为Base64编码。手动进行Base64编码的方法请参见如何进行Base64编码。 当密钥为dockerconfigjson类型时:输入私有镜像仓库的用户名和密码。 说明: 密钥可用于创建工作负载存储卷和设置工作负载环境变量,设置工作负载环境变量时,该密钥数据不可为空。
Linux内核层面实现网络和安全通信。它支持多种传输层协议,例如TCP、UDP和HTTP,并提供了多种安全特性,例如应用层访问控制和服务网格支持。Cilium还支持Kubernetes网络策略,并提供了全局网络和服务发现功能,能够帮助管理员更好地管理和部署云原生应用和服务。 Cilium的eBPF
前提条件 已在UCS控制台申请多云集群试用。 UCS集群配额充足,AWS资源配额充足。 已在AWS控制台创建访问密钥。具体操作请参见如何获取访问密钥AK/SK。 操作步骤 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 单击多云集群选项卡中的“注册集群”按钮。 参考下表填
应用拓扑图中的连线颜色代表了当前连接的健康状况,连接展示什么颜色由错误率的值决定。当错误率小于1%时连线呈绿色;当错误率在[1%~10%]范围内连接呈黄色;当错误率大于10%连接呈红色。 单击拓扑中的服务节点,可以查看当前服务在所选时间内的指标数据;单击拓扑中某条连接,可以查看当前连接在所选时间内的指标数据。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
