检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
若出现情况一中报错,原因为创建MCI对象时配置的监听器端口已被使用,您可以任选以下解决方案中的一种: 编辑创建失败的MCI对象,修改为未使用的监听器端口。 登录ELB控制台,删除对应端口的监听器。 若出现情况二中报错,原因为创建MCI对象时配置的karmada.io/elb.proj
员日常观察资源的变更以及定位问题均有帮助。如果您需要监控集群内事件,可以前往“容器洞察 > 事件”页面查看。为了实现这一目标,您需要为集群安装log-agent插件,该插件可以采集Kubernetes事件,并在“容器洞察 > 事件”页面进行展示。 功能入口 登录UCS控制台。 在
个或多个污点,对于未设置节点容忍策略的Pod,调度器会根据集群上的污点效果进行选择性调度,以避免Pod被分配到不合适的节点上。 通过控制台配置容忍策略 登录UCS控制台。 在创建工作负载时,单击“下一步:调度与差异化”。 添加污点容忍策略。 参数名 参数描述 污点键 节点的污点键。
单击服务网格名称,进入服务网格详情页。 在左侧导航栏,单击“服务网关 > 网关路由”,进入网关路由列表页面。 单击右上角“创建路由”按钮,添加网关路由。 填写参数配置,单击右下角“确定”按钮,完成TLS路由创建。 路由类型:TLS。 路由名称:自定义名称。例如:test。 命名空间:选择路由要创建在哪个命名空间下。
提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS的详细介绍和开通配置方法,请参见CTS快速入门。 图1 云审计服务 日志 Kubernetes日志可以协助您排查和诊断问题。本节介绍UCS如何通过多种方式进行Kubernetes日志管理。
如何手动清理本地集群节点? 使用须知 节点清理属于高危操作,会将节点上已安装的进程(包括kubernetes进程、containerd等)和数据(包括容器、镜像等)全部清理,一旦执行清理操作节点状态将不可恢复。因此,执行之前请确认节点是否已经不再被本地集群使用。 使用场景 本地集群ucs-ctl
设置容器健康检查 操作场景 健康检查是指容器运行过程中,根据用户需要,定时检查容器健康状况。若不配置健康检查,如果容器内应用程序异常,Pod将无法感知,也不会自动重启去恢复。最终导致虽然Pod状态显示正常,但Pod中的应用程序异常的情况。 Kubernetes提供了两种健康检查的探针:
的本地硬盘数据卷适用于将数据持久化存储到容器所在宿主机,EmptyDir(不填写源路径)适用于容器的临时存储。配置项(ConfigMap)是一种用于存储工作负载所需配置信息的资源类型,内容由用户决定。密钥(Secret)是一种用于存储工作负载所需要认证信息、密钥的敏感信息等的资源
源互相不感知、不影响。通过集群联邦入口配置的RBAC权限仅直接访问联邦时生效;直接访问成员集群时,仅成员集群上配置的RBAC生效。 在分配细粒度鉴权时,谨慎使用ClusterRole、ClusterRoleBinding等相关权限和角色配置,避免将资源查看权限赋予“Karmada
启动后处理 登录UCS控制台,进入集群联邦页面,在创建工作负载时,配置容器信息,选择“生命周期”。 在“启动后处理”页签,设置启动后处理的参数。 表3 启动后处理-参数说明 参数 说明 命令行方式 在容器中执行指定的命令,配置为需要执行的命令。命令的格式为Command Args[1]
GRPC检查可以为GRPC应用程序配置启动、活动和就绪探针,而无需暴露任何HTTP端点,也不需要可执行文件。Kubernetes可以通过GRPC连接到工作负载并查询其状态。 图4 GRPC检查 使用GRPC检查时,您的应用需支持GRPC健康检查协议。 与HTTP和TCP探针类似,如果配置错误,都会被认
在微服务场景下,负载均衡一般和服务配合使用,每个服务都有多个对等的服务实例。 服务发现负责从服务名中解析一组服务实例的列表,负载均衡负责从中选择一个实例。为目标服务配置满足业务要求的负载均衡策略,控制选择后端服务实例。 父主题: 流量策略
建及使用指导。 约束与限制 该文档仅适用于为UCS本地集群安装Metallb。 前提条件 按照网络管理Cilium介绍章节,已完成开启集群的BGP功能,配置LOAD_BALANCER_CIDR,并将其广播给底层网络。 安装Metallb 登录UCS控制台。 左侧导航栏内选择“云原生服务中心”。
其中必须指定集群名称,即加上`-c [cluster_name]`这个flag。 可以配置的flag如下: -a:节点的全量升级。 -y:默认同意所有请求。 -c:指定集群名称。 -r:回滚选项。 -n:指定节点IP。 -f:指定节点配置文件。 父主题: 管理本地集群
heduler。 开启本地集群控制面日志 集群未安装云原生日志采集插件 安装云原生日志采集插件时,可通过勾选对应控制面组件,创建默认日志采集策略,采集对应组件日志上报到LTS。安装方法见:启用云原生日志采集插件采集日志。 集群已安装云原生日志采集插件 登录容器舰队控制台,单击集群
config generator -t node -o node.csv命令生成纳管节点时使用的配置文件。 将所需节点的参数写入配置文件,使用英文逗号分隔,如下所示。参数描述如表1。 表1 配置文件参数描述 参数 描述 Node IP 节点IP User SSH连接用户 Password
该漏洞范围涉及中国站本地集群和国际站多云集群类型,同时集群中工作负载配置或容器镜像具备如下特征时,可能存在风险: 工作负载中容器进程的WORKDIR为 /proc/self/fd/<num>。 图1 有安全风险的工作负载配置示例 工作负载的容器镜像中默认WORKDIR或启动命令包含 /proc/self/fd/<num>。
集群连线配置文件 -c, --config string 集群配置文件 -h, --help 帮助信息 -r, --retry 安装重试 示例:
generate-kubeconfig 为用户直接生成KubeConfig配置,若指定的KubeConfig已存在,则会注入新的server、user、context配置,并将当前的KubeConfig context切换到此次配置的结果。 Generate or modify kubeconfig
策略中心概述 随着公司不断增加开发和生产集群的数量,确保在日益扩大的环境中创建和执行一致的配置和安全策略变得越来越具挑战性,这可能会阻碍运维效率。为了解决这个问题,UCS推出了基于OPA(Open Policy Agent)的Gatekeeper实现的策略中心功能。这一功能可以帮
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
