检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
示例:某公司权限设计及配置 假设A公司在华为云使用UCS服务管理多集群,公司中有多个职能团队,分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用IAM和UCS的权限管理,可以实现精细化授权的目标。 图1 组织结构示意图 行管团队:负责管理公司所有资源的团队。 开发团队:负责业务开发的团队。
全部云服务只读权限(除IAM权限)系统角色 VPC FullAccess VPC服务系统策略所有执行权限 NAT FullAccess NAT网关服务系统策略所有执行权限 DNS FullAccess DNS服务系统策略所有执行权限 VPCEndpoint FullAccess VPCEP服务系统策略所有执行权限
clusters validate failed”,错误原因:“vpcep: Required value: all subnets in vpc xxx have endpoint connected to xxx.vpcep-src-open.xxx but not managed
华为云UCS 华为云UCS(Ubiquitous Cloud Native Service)为企业提供业务部署、管理、应用生态的全域一致性体验,突破集群地域、厂商、流量限制,把云原生的能力带入到企业的每一个业务场景,加速千行百业拥抱云原生。 文档 立即使用 成长地图 由浅入深,带您玩转UCS
保集群已符合此条件,否则会接入失败。 云专线/VPN接入:通过云专线(DC)或虚拟专用网络(VPN)服务将云下网络与云上虚拟私有云(VPC)连通,并利用VPC终端节点通过内网与容器智能分析建立连接,具有高速、低时延、安全的优势。详情见本地集群使用云专线/VPN上报日志。 常见问题处理
出于安全考虑,集群联邦apiserver不提供公网访问地址。UCS通过在您提供的VPC和子网中创建终端节点,并将该终端节点连接到集群联邦apiserver,来打通访问联邦的网络。对于每个集群联邦,UCS在同一VPC中仅会创建一个终端节点。如果VPC中已有连接该联邦apiserver的终端节点,则会进行复用。
请提前做好网络规划,保证成员集群间容器网络不冲突,确保ELB实例与容器Pod IP网络可达。若MCI的ELB实例与集群处于不同VPC内,请提前打通VPC间的网络。 当为同一Service同时配置MCI与MCS时,该Service将会下发至MCS中配置的下发集群、访问集群以及对应工作负载的部署集群。
请提前做好网络规划,保证成员集群间容器网络不冲突,确保ELB实例与容器Pod IP网络可达。若MCS的ELB实例与集群处于不同VPC内,请提前打通VPC间的网络。 准备工作 如您没有可用的ELB实例,需要先创建ELB实例,具体请参考创建独享型负载均衡器。该ELB实例需要满足以下条件:
入门指引 UCS是一个分布式集群的统一管理平台,本文旨在介绍华为云UCS服务(Ubiquitous Cloud Native Service)的基本使用流程,帮助您快速上手UCS服务。 使用步骤 UCS最基础的入门操作包括创建容器舰队、添加集群、管理多集群生命周期,通过这三个步骤
信息”页面,在“舰队基本信息”中单击“kubectl”。 图1 kubectl连接信息 参照页面中的提示信息,选择对应的项目名称、虚拟私有云(VPC)、控制节点子网以及有效期,单击“下载”,下载kubectl配置文件。 下载下来的文件名为kubeconfig.json。 图2 kubectl连接联邦实例
策略中心概述 随着公司不断增加开发和生产集群的数量,确保在日益扩大的环境中创建和执行一致的配置和安全策略变得越来越具挑战性,这可能会阻碍运维效率。为了解决这个问题,UCS推出了基于OPA(Open Policy Agent)的Gatekeeper实现的策略中心功能。这一功能可以帮
rName}-vpc 网络接口 4 Name为空,对应VPC均为:${clusterName}-vpc VPC面板 VPC 1 ${clusterName}-vpc NAT 3 ${clusterName}-nat 对应VPC为:${clusterName}-vpc;对应子网为:
等数据,这些信息有助于用户了解集群的当前状况,评估迁移风险,并选择合适的目标集群版本和规模。 kspider工作原理 kspider工具的架构如图1所示,包含三个模块:采集模块、连接管理和分析模块。采集模块可以收集源集群的数据,包括命名空间、工作负载、节点、网络等;连接管理模块负责与源集群的API
图解华为云UCS
等数据,这些信息有助于用户了解集群的当前状况,评估迁移风险,并选择合适的目标集群版本和规模。 kspider工作原理 kspider工具的架构如图1所示,包含三个模块:采集模块、连接管理和分析模块。采集模块可以收集源集群的数据,包括命名空间、工作负载、节点、网络等;连接管理模块负责与源集群的API
usterRolebinding权限。 如果出现“no such host”问题,请按以下步骤进行排查: 查询VPCEP节点是否存在,是否被误删,使用以下命令获取 vpcep 终端节点 id: server=`cat config | jq '.clusters[0].cluster
String 集群ID 表2 Query参数 参数 是否必选 参数类型 描述 vpcendpoint 否 String VPC终端节点的IP地址。私网接入的集群必填,且必须是打通线下集群的VPC终端节点。 创建VPC终端节点及查询IP地址的方法请参见创建终端节点。 region 否 String
参数 是否必选 参数类型 描述 projectID 是 String 项目id vpcID 是 String VPC id,必须属于上述项目 subnetID 是 String 子网id,必须属于上述vpc duration 是 Integer kubeconfg证书有效期,单位为天
中,同时对应用发布行为进行版本化管理和权限控制,提供发布回滚和版本迭代控制,并进行审计跟踪。 所需的基础架构状态会自动应用于基础架构,而无需任何手动干预,持续监控并确保基础架构始终遵循Git存储库中的配置,确保基础设施处于理想状态。 图1 GitOps实现方式 GitOps优势
注册附着集群(公网接入) 本章节讲述附着集群的注册及公网接入流程。 约束与限制 华为云账号用户需具备UCS FullAccess和VPCEndpoint Administrator权限。 若集群地域位于境外,应确保您的行为符合所适用的法律法规要求。 请确保注册的集群为通过CNCF一致性认证,且版本在1
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
