检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
k8spspfsgroup 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: rule: 字符串,支持MayRunAs、MustRunAs和RunAsAny ranges max: 整型 min: 整型 作用 控制PodSecurityPolicy中的“fsGroup”字段在限制范围内。
k8spsphostnamespace 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数:无 作用 限制PodSecurityPolicy中的“hostPID”和“hostIPC”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion:
k8sallowedrepos 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: repos:字符串数组 作用 容器镜像必须以指定字符串列表中的字符串开头。 策略实例示例 以下策略实例定义容器镜像必须以“openpolicyagent/”开头。 apiVersion:
更新流量策略 YAML更新流量策略 以检查4分钟内forecast服务实例的访问异常情况为例,连续出现5次访问异常的实例将被隔离10分钟,被隔离的实例不超过30%,在第1次隔离期满后,异常实例将重新接收流量,如果仍然不能正常工作,则会被重新隔离,第2次将被隔离20分钟,以此类推。用户可根据实际需求对参数进行更新。
配置调度与差异化 集群调度策略 当前界面支持集群权重和自动均衡两种策略。 通过控制台配置调度策略 登录UCS控制台。 在创建工作负载时,单击“下一步:调度与差异化”。 添加调度策略。 表1 调度策略 策略 描述 集群权重策略 需要您选择集群并配置分发权重,按照集群权重配比分发Pod。
k8spspreadonlyrootfilesystem 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“readOnlyRootFilesystem”字段。 策略实例示例
请求超时 开启请求超时,服务访问超时系统会自动处理,快速失败,避免资源锁定和请求卡顿。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: my-productpage-rule
数据规划 在AWS基础设施上构建多云集群时,将自动在AWS控制台创建以下资源,请确保资源配额足够: 表1 资源数量 资源类型 EC2 NAT VPC 子网 路由表 互联网网关 弹性IP 安全组 网络ACL ELB 网络接口 存储卷 数量 3台 3个 1个 6个 7个 1个 3个 5个
基于条件的分流 ASM服务可以基于不同的条件将流量路由到不同的版本。 控制台更新基于条件的分流 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务中心”下的“网格服务”,进入服务列表。 单击服务名,进入服务详情页。 选择“
创建流量策略 YAML创建流量策略 通过YAML创建流量策略,步骤如下: 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“流量治理”下的“流量策略”,进入流量策略列表页。 单击右上角“YAML创建”,弹出流量策略YAML创建界面。
为多云集群开启监控 本章节讲述为多云集群开启监控的操作流程。 前提条件 已将多云集群注册到UCS中,具体操作请参见多云集群概述。 准备网络环境 多云集群的数据接入方式支持公网接入,要求集群能够访问公网,具有弹性灵活、成本低、易接入的优势。如果对网络质量没有要求,只想采用更简便的方式接入,那么公网接入是个不错的选择。
为华为云集群开启监控 本章节讲述为华为云集群开启监控的操作流程。 约束与限制 华为云集群开启监控之前,有可能已经安装了kube-prometheus-stack插件,若该插件处于“安装中”、“升级中”、“删除中”和“回滚中”状态时,不允许开启监控。插件的状态说明请参见插件状态说明。
重定向 开启重定向,可以在客户端将对目标地址的请求重定向到配置的新的目标地址。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: ratings-route
状态码 正常 返回值 说明 200 OK GET和PUT操作正常返回。 201 Created POST操作正常返回。 202 Accepted 请求已被接受。 204 No Content DELETE操作正常返回。 异常 返回值 说明 400 Bad Request 服务器未能处理请求。
重写 开启重写,可以在不修改客户端的访问的目标地址前提下,根据配置重写请求的URL。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: ratings-route
CORS 当一个资源向该资源所在服务器的不同的域发起请求时,就会产生一个跨域的HTTP请求。出于安全原因,浏览器会限制从脚本发起的跨域HTTP请求。通过跨域资源共享CORS机制可允许Web应用服务器进行跨域访问控制,使跨域数据传输安全进行。 YAML设置如下: apiVersion:
为节点添加标签/污点 UCS支持为节点打上不同的标签,以定义节点的不同属性,通过这些标签,您可以快速地了解各个节点的特点。 污点(Taint)能够使节点排斥某些特定的Pod,从而避免将Pod调度到该节点上,通过添加污点,您可以实现各节点负载的合理分配。 节点标签使用场景 节点标签的主要使用场景有两类。
策略定义库概述 UCS为您提供了预置的策略定义库,通过这个库,您可以创建具体的策略实例,进而将策略实例定义细节的任务委托给具备专业知识的个人或团队。这种做法不仅实现了关注点的隔离,还将策略实例的逻辑与定义进行了分离。 为了帮助您更好地理解策略定义的工作原理,每个预置策略定义都包含
UCS服务资源权限(IAM授权) UCS服务资源权限是基于IAM系统策略的授权,UCS服务资源包括容器舰队、集群、联邦实例等等,管理员可以针对用户的角色(如开发、运维)进行差异化授权,精细控制他们对UCS资源的使用范围。 IAM通过用户组功能实现用户的授权,在给用户组授权之前,请
基于权重的分流 ASM能够提供基于权重的流量控制,根据设定的权重值将流量分发给指定的版本。 控制台更新基于权重的分流 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务中心”下的“网格服务”,进入服务列表。 单击服务名,进入服务详情页。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
