检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权限范围 最小权限 容器舰队 管理员权限 创建、删除舰队 注册华为云集群(CCE集群、CCE Turbo集群)、本地集群或附着集群 注销集群 将集群加入、移出舰队 为集群或舰队关联权限 开通集群联邦、联邦管理相关操作(如创建联邦工作负载、创建域名访问等) UCS FullAccess
策略中心概述 随着公司不断增加开发和生产集群的数量,确保在日益扩大的环境中创建和执行一致的配置和安全策略变得越来越具挑战性,这可能会阻碍运维效率。为了解决这个问题,UCS推出了基于OPA(Open Policy Agent)的Gatekeeper实现的策略中心功能。这一功能可以帮
设置容器规格 操作场景 在创建工作负载时为添加的容器设置资源限制,可以对工作负载中每个实例所用的CPU配额、内存配额进行申请和限制。 配置说明 CPU配额: 表1 CPU配额说明 参数 说明 CPU申请 容器使用的最小CPU需求,作为容器调度时资源分配的判断依赖。只有当节点上可分配CPU总量
通过MCI访问服务失败,如何排查? 若您在创建MCI后访问服务失败,请检查MCI对象是否配置成功。 请登录ELB控制台,根据MCI绑定的ELB实例ID,找到并单击对应的ELB实例名称进入elb监听器页面,找到对应的监听器单击“添加/编辑转发策略”,进入ELB监听器的转发策略页面,
e访问的端口,例如5566。 创建nginx-v2服务 参考步骤1创建nginx-v2服务。 创建基于流量比例的路由 进入华为云UCS控制台,依次单击“服务网格-要配置的网格名称-服务网关-网关路由-HTTP路由-YAML创建”。 使用以下内容,创建nginx-canary网关路由。
排查项一:proxy-agent的运行状态 集群从UCS注销后,原有proxy-agent配置文件中包含的认证信息将会失效,请同时删除集群中已部署的proxy-agent实例。如需再次接入UCS,必须重新从UCS控制台下载proxy-agent配置文件进行部署。 登录目标集群Master节点。 查看集群代理部署状态。
安全策略、配置管理以及多集群编排等统一管理的能力。 容器舰队使用限制 仅华为云账号且具备UCS FullAccess权限的用户可进行舰队的创建、删除操作。 一个集群只能加入一个舰队。 容器舰队支持的能力范围 集群接入UCS后,您可以将其加入容器舰队并开通集群联邦能力,以进行多集群
如何精细化管理集群联邦权限? 如果您在访问联邦资源时出现如下错误提示,说明您没有对应资源的操作权限,请您向您的管理员申请授予对应的权限,创建对应的Role/RoleBinding或者ClusterRole/ClusterRolebinding权限。 如果出现“no such host”问题,请按以下步骤进行排查:
排查项一:proxy-agent的运行状态 集群从UCS注销后,原有proxy-agent配置文件中包含的认证信息将会失效,请同时删除集群中已部署的proxy-agent实例。如需再次接入UCS,必须重新从UCS控制台下载proxy-agent配置文件进行部署。 登录目标集群Master节点。 查看集群代理部署状态。
otel-collector。 fluent-bit:日志收集器,以DaemonSet形式安装在每个节点。 cop-logs:负责采集侧配置文件生成及更新的组件。 log-operator:负责解析及更新日志规则的组件。 otel-collector:负责集中式日志转发的组件,将
若安装插件时勾选了采集标准输出和采集Kubernetes事件,将创建两个日志策略,并对接默认的LTS日志组、日志流。 创建日志策略:单击上方“创建日志策略”,输入要采集的配置信息。 策略模板:若安装插件时未勾选需要采集的日志策略,或者删除了对应的日志策略,可通过该方式重新创建默认日志策略。 图2 使用策略模板
的操作(例如删除了其中的Tenant Administrator权限)均需要删除当前委托,以便创建新的委托。 进入UCS控制台,在弹出的“授权说明”对话框,单击“确认”,UCS会重新创建ucs_admin_trust委托,恢复业务。 父主题: 权限相关
重复添加可增加多条设置,单击“确认”完成配置。 配置项挂载 “配置项挂载”用于处理工作负载配置参数。用户需要提前创建工作负载配置,操作步骤请参见配置项(ConfigMap)。 参考创建无状态负载、创建有状态负载或创建守护进程集,在设置容器基本信息后,选择“数据存储”,在“本地存储”页签下单击添加。 图3
端口的形式访问后端负载。 相关操作 通过UCS控制台,您还可以执行表2中的操作。 表2 相关操作 操作 说明 YAML创建 单击右上角“YAML创建”,可使用已有的YAML创建服务。 查看详情 选择服务所在的命名空间。 (可选)根据服务名称进行搜索。 单击服务名称即可查看服务详情,包括基本信息以及各集群的部署信息。
leBinding被删除。集群联邦内若有一个及以上的成员集群出现上述情况,就会导致kubectl命令请求中断并返回该错误。 解决方案 重新创建该成员集群的ClusterRole与ClusterRoleBinding资源对象。 ClusterRole的YAML文件示例如下。其中,{
权限配置 IAM用户配置UCS服务权限
类型自动过滤。 YAML创建HTTP路由 登录UCS控制台,单击左侧导航栏中的“服务网格”,进入服务网格列表页。 单击服务网格名称,进入服务网格详情页。 在左侧导航栏,单击“服务网关 > 网关路由”,进入服务网关列表页面。 单击右上角“YAML创建”,创建HTTP路由。 设置YA
heus Adapter组件并配置自定义指标采集规则,再进行FederatedHPA策略的创建。 安装插件 选择适用的插件后,请结合表1内注意事项,参考相关文档为集群安装插件: 请为需要创建负载伸缩策略的集群联邦下所有集群安装指标采集插件,否则会造成指标采集异常,负载伸缩策略失效。
图1 选择“安全凭据” 在“访问密钥”区域中,单击“创建访问密钥”。如果您已经有两个访问密钥,则此按钮将被停用,您必须先删除一个访问密钥,然后才能创建新的访问密钥。您也可以使用已有的密钥来创建UCS on AWS集群。 图2 创建访问密钥 在“检索访问密钥”页面上,单击“显示”获取用户的秘密访问密钥的值,或单击“下载
选择“命名空间”为“asm-system”,单击右上角“创建密钥”。 设置密钥参数,单击右下角“创建密钥”,完成密钥创建。 名称:自定义名称。例如:kubeconfig。 创建的密钥的名称不要使用mesh-kubeconfig,因为apiserver也会自动创建这个名字的密钥,如果使用了这个名称可能会被覆盖。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
