检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
但这些预定义的策略定义基本可以满足您在合规性和安全性方面的需求。策略定义的详细介绍请参阅策略定义库概述。 策略执行方式:包括拦截和告警两种方式。拦截表示不符合策略要求的资源将无法创建,告警表示不符合策略要求的资源仅告警提醒,仍可以正常创建。 策略生效范围:选择生效的命名空间。 单
容器洞察提供基于Kubernetes原生类型的容器监控能力,全面监控集群的健康状态和负荷程度。 支持集群、节点、工作负载的资源全景。 支持节点的资源占用、工作负载的资源消耗。 展示近一小时的CPU/内存指标。 关于UCS监控风险安全的详细介绍,请参见容器洞察章节。 父主题: 安全
对应厂商所提供的metric-server插件。 Prometheus:Prometheus是一套开源的系统监控报警框架,能够采集丰富的Metrics(度量数据),因此除基础资源指标外,Prometheus还支持提供自定义指标。 约束与限制 需要创建弹性扩缩容策略的集群至少有一个实例,
GitOps是使用Git仓库来管理应用的部署模板,将Git仓库作为Kubernetes集群中部署应用的唯一来源,实现应用的持续部署,实现多集群的GitOps持续交付,满足应用的高可用部署、系统组件多集群分发等需求。GitOps假设每一个基础设施都被表示为一个具有版本控制功能的存储系统中的文件,并且有一个
创建工作负载时,配置容器存储,可以使用以下类型的存储。 本地存储 通过本地磁盘存储将容器所在宿主机的文件目录挂载到容器的指定路径中(对应Kubernetes的HostPath),也可以不填写源路径(对应Kubernetes的EmptyDir),不填写时将分配主机的临时目录挂载到容器的挂载点,指定源路径的本地硬盘数据
etes集群的运维最佳实践,提供相应的诊断结果和修复建议。 约束与限制 集群版本高于v1.17。 集群处于“运行中”状态。 查看巡检详情 选择一个容器舰队或者未加入舰队的集群。 图1 选择舰队或未加入舰队的集群 单击“健康诊断”页签,您可通过健康诊断功能查看各个集群的正常比例及风险数量。
- memory requests: - cpu - memory 符合策略实例的资源定义 已经配置内存的Limit,CPU和内存的Request,符合策略实例。 apiVersion: v1 kind: Pod metadata: name:
“$env”类型的字符串引用环境变量。 若您的镜像仓库为华为云SWR,则目标镜像仓库SWR的密码为AK和SK经过加密处理后的登录密钥,详细指导请参考获取长期有效登录指令。 若您的镜像仓库为Amazon ECR或ACR,请登录相应厂商的镜像仓库控制台,查看镜像仓库的推送命令,获取相应密码。
您实现更高的运维效率和更强的安全性。 UCS策略中心的主要优势包括: 一致的策略管理 以集中、一致的方式将一组安全合规策略应用到多个容器舰队、集群中。 确保资源安全性 持续审计资源,以确保资源满足安全合规要求并且不出现违反策略的行为。 全局资源合规性视图 涵盖所有资源的全面合规性视图,大规模保护和管理集群资源。
终端节点(Endpoint) 终端节点(Endpoint)即调用API的请求地址,不同服务不同区域的终端节点不同,您可以从地区和终端节点查询服务的终端节点。 UCS的终端节点如下表所示,请您根据业务需要选择对应区域的终端节点。 表1 UCS的终端节点 区域名称 区域 终端节点(Endpoint)
pathPrefix: 字符串 作用 约束PodSecurityPolicy中的“hostPath”字段的参数。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中的allowedHostPaths指定了字段的值。 apiVersion: constraints.gatekeeper
参数: volumes:数组 作用 约束PodSecurityPolicy中的“volumes”字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters的volumes字段定义了允许的类型列表。 apiVersion: constraints.gatekeeper
UCS华为云集群迁移流程 在同一地理区域内的华为云UCS管理的Kubernetes集群间进行迁移,实现资源优化、应用升级或其他管理需求。迁移流程如图1所示。 图1 迁移流程 主要包含四个步骤: 集群评估 在这个阶段,您将根据源集群的现状来评估适合迁移的目标集群类型。UCS的kspider工具能够自
挑战性的任务,因此仔细的规划和准备至关重要。UCS的容器迁移服务通过以下四个阶段为您提供全流程迁移指导: 集群评估:在此阶段,您需要评估源集群的状态以决定目标集群的类型。 数据迁移:在这个阶段,您将迁移镜像以及依赖服务的相关数据。 应用备份:在此阶段,您需要备份源集群中的应用。
域名访问 在多个集群中部署的应用可以通过公网域名实现统一的访问。您可以配置您的公网域名,UCS服务会以此域名作为根域名生成一个完整的应用外部访问域名。您可以通过发布域名访问,将服务,路由自动对接到华为云云解析DNS服务,以提供多云场景下应用的统一对外访问路径。同时域名访问提供了自
在更新流量策略内容时,可选择是否开启。熔断器是提高微服务韧性的一个非常典型的手段,会自动隔离不健康的实例,提高服务整体访问成功率。 熔断器跟踪服务实例的访问状态,通过跟踪一段时间内服务实例的访问请求判定其健康状况,将不健康的实例从连接池中隔离,从而提高服务总体的访问成功率,适用于HTTP和TCP服务。
查看舰队总览。您可以选择一个容器舰队或未加入舰队的集群,查看所选范围内已开启监控的集群、以及集群中的节点、负载总览信息。 本小节操作指导均以查看容器舰队的总览信息为例,若您需要查看未加入舰队集群的总览信息,请在容器洞察页面选择“其他 > 未加入舰队集群”,查看全部未加入舰队的集群、以及集群中的节点、负载总览信息。
服务路由概述 服务路由定义了对特定目标服务的一组流量规则,在形式上表示一个虚拟服务,将满足条件的流量都转发到对应的服务后端。 这个服务后端可以是一个服务,也可以是在流量策略中定义的服务的子集。 服务路由描述了一个具体的服务对象,在该服务对象内包含了对流量的各种处理,其主体是一个服务而不是一组规则,更易于理解。
销集群的权限策略,控制他们对UCS资源的使用范围。 UCS权限类型 UCS权限管理是在IAM与Kubernetes的角色访问控制(RBAC)的能力基础上,打造的细粒度权限管理功能。支持UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同
插件简介 huawei-npu插件是支持容器里使用huawei NPU设备的管理插件。 安装本插件后,可支持使用NPU的节点,实现快速高效地处理推理和图像识别等工作。 前置条件 安装huawei-npu的节点需要添加标签“accelerator/huawei-npu”,标签值可为空。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
