检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Autoscaling,是Kubernetes中实现Pod水平自动伸缩的功能。该策略在Kubernetes社区HPA功能的基础上,增加了应用级别的冷却时间窗和扩缩容阈值等功能。 前提条件 使用HPA前需要在集群内安装能够提供Metrics API的插件(详情请参见对Metrics API的支持):
-server实例,请先对manage节点进行扩容。 manage节点在本地集群内使用tag和taint进行管理,因此对manage节点进行扩容只需要为集群内非manage节点打上标签和污点即可,具体步骤如下: 进入UCS集群控制台,单击左侧导航栏内的“节点管理”。 选中待转的非
请求速率(记录类型/区域/DO标志位) 请求数据包(UDP/TCP) 响应速率(响应状态码) 响应时延 响应数据包(UDP/TCP) 缓存大小 缓存命中率 PVC视图 集群 命名空间 PV PVC PV/PVC状态 PVC使用量/使用率 PVC inodes使用量/使用率 PVC每小时/每天/每周使用率
上报到云日志服务(LTS) 用于配置日志上报的日志组和日志流。 使用默认日志组/日志流:将为您自动选择默认日志组(k8s-log-{集群ID})和默认的日志流(stdout-{集群ID})。 自定义日志组/日志流:可在下拉框选择任意日志组和日志流。 日志组 日志组是云日志服务进行日志管
也可以在左上角选择事件发生的时间范围,包括近1小时、近1天、近1周和自定义。 事件列表 您可以在列表中查看满足搜索条件的事件详情,包括最近发生时间、事件名称、资源类型、资源名称、事件内容、事件类型和发生次数。单击操作列的“历史事件”,在弹出的对话框中将展示当前资源类型和资源名称下的所有事件。 父主题: 容器洞察
yaml文件,单击,将“type: ClusterIP”修改为“type: NodePort”,单击保存。 登录华为云控制台,在左侧导航栏选择“分布式云原生”,选择“配置管理”,进入被修改的配置集合所在集群,单击配置集合名,查看“配置集合信息”页面,当“仓库源同步状态”为“运行中”后,表
采集Kubernetes事件:开启后,将创建名为default-event的日志策略,并上报所有命名空间下的Kubernetes事件到云日志服务(LTS)和应用运维管理(AOM)。 Kubernetes审计日志:采集Kubernetes审计日志并上报到云日志服务 (LTS)。 kube-apis
登录云容器引擎控制面,单击选择任意集群,进入详情页。 建议选择网格对应的VPC下的集群。若连接其他VPC下的集群,则需要参考UCS服务网格 集群连通方法打通集群所在VPC和网格对应VPC。 在左侧导航栏,单击“配置与密钥”,单击“密钥”页签,显示集群的密钥信息。 选择“命名空间”为“asm-system”,单击右上角“创建密钥”。
启用策略中心 创建、停用策略实例 查看策略列表 查看策略实施详情 UCS FullAccess 只读权限 对于已启用策略中心的舰队和集群,拥有该权限的用户可以查看策略列表和查看策略实施详情。 UCS CommonOperations 或 UCS ReadOnlyAccess 服务网格 管理员权限
示例:使用策略中心实现Kubernetes资源合规性治理 假设您是一家大型企业的平台工程师,负责整个基础设施环境的安全策略配置和管理,确保企业多个团队使用集群资源的合规性。利用UCS策略中心,您可以: 创建统一的策略实例:使用UCS策略中心创建一个统一的策略实例,包含所有团队需要
注册附着集群(公网接入) 本章节讲述附着集群的注册及公网接入流程。 约束与限制 华为云账号用户需具备UCS FullAccess和VPCEndpoint Administrator权限。 若集群地域位于境外,应确保您的行为符合所适用的法律法规要求。 请确保注册的集群为通过CNCF一致性认证,且版本在1
创建网关将会同步创建其对应的工作负载Pod、Loadbalancer service,工作负载Pod请勿调度到CentOS 7.6和Huawei Cloud EulerOS 1.1操作系统的节点,否则将无法启动。1.22及以上集群,网关工作负载Pod将依赖内核ip_unprivile
命名空间 命名空间(Namespace)是对集群中一组资源和对象的抽象整合,可通过集群资源配额实现多个用户之间的资源划分,适用于多个团队或项目共享一个集群资源的场景。 创建命名空间 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 在“容器舰队”页签下找到已开通集群联邦的舰队,单击名称进入详情页。
适用的资源类型、命名空间或其他特定条件,从而确保策略实例仅对满足这些条件的对象起作用。 表1为安全类策略定义,共16个,它们专注于确保集群和资源的安全性;表2为合规类策略定义,总共17个,它们针对不同方面的合规要求。 表1 安全类策略定义 策略定义名称 类型 推荐级别 生效对象 参数
使用策略定义库 策略定义库概述 k8spspvolumetypes k8spspallowedusers k8spspselinuxv2 k8spspseccomp k8spspreadonlyrootfilesystem k8spspprocmount k8spspprivilegedcontainer
k8sblocknodeport 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Service 参数:无 作用 不允许Service为NodePort类型。 策略实例示例 apiVersion: constraints.gatekeeper.sh/v1beta1 kind:
csi-nas:即文件存储SFS。 csi-obs:即对象存储OBS,需指定实例类型和对象存储类型,并添加访问密钥。 实例类型:对象桶或并行文件系统。并行文件系统是OBS经过优化的高性能文件系统,提供更高性能的对象访问。 对象存储类型:标准存储和低频访问存储。低频访问存储是高可靠、较低成本的实时访问存储服
但所有操作只作用于当前集群。 其中默认创建default命名空间只支持管理配额不支持删除。 集群自带的命名空间,如:kube-public和kube-system,既不支持管理配额也不支持删除。 创建命名空间 登录集群控制台。 在左侧导航栏中选择“命名空间”,单击右上角“创建命名空间”,配置参数。
k8spspprocmount 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages:字符串数组 procMount:字符串 作用 约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例
附着集群概述 附着集群指满足CNCF(Cloud Native Computing Foundation)标准的第三方Kubernetes集群,如AWS(EKS)、GCP(GKE)以及自建的Kubernetes集群。 附着集群的管理流程如图1所示。 图1 附着集群管理流程 接入网络模式
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
