检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
权限管理 UCS权限概述 UCS服务资源权限(IAM授权) 集群中Kubernetes资源权限(RBAC授权) Kubernetes资源对象 示例:某公司权限设计及配置
CVE-2024-21626 高 2024-02-01 漏洞利用条件 UCS服务的正常使用场景不受此漏洞影响,仅当攻击者具备以下条件之一时,可利用该漏洞: 攻击者具有集群工作负载的创建或更新权限。 集群中工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限。 漏洞影响 满足上述漏洞利
182 在UCS所在区域新建一个VPCEP,并指定该IP地址,单击“查看已使用IP地址”以确保该IP地址未使用。如IP地址已占用,则需编辑集群中的proxy-agent配置,请参考编辑proxy-agent配置。 图1 购买终端节点(指定节点IP) 单击“立即购买”,重新创建一个VPCEP。
负载上双向认证的模式。 创建对端认证 支持YAML创建对端认证。 登录UCS控制台,进入网格。 在左侧导航栏,单击“服务安全”下的“对端认证”,进入对端认证详情页。 单击右上角“YAML创建”,弹出对端认证YAML创建界面。 为服务开启双向认证,该服务使用双向认证来接收调用方的访问,只处理TLS通道上加密的请求。
"aaaaaaaaa" } } 响应示例 状态码: 201 返回创建成功的容器舰队UID信息 { "uid" : "6efb4a18-2fa4-11ee-ad1d-0255ac1001c4" } 状态码 状态码 描述 201 返回创建成功的容器舰队UID信息 400 客户端请求错误,服务器无法执行请求
kube-prometheus-stack插件处于“安装中”、“升级中”、“删除中”和“回滚中”时不允许关闭监控。 kube-prometheus-stack插件处于“运行中”、“部分就绪”和“安装失败”时关闭监控:对于华为云集群,系统将会更新kube-prometheus-sta
e访问的端口,例如5566。 创建nginx-v2服务 参考步骤1创建nginx-v2服务。 创建基于流量比例的路由 进入华为云UCS控制台,依次单击“服务网格-要配置的网格名称-服务网关-网关路由-HTTP路由-YAML创建”。 使用以下内容,创建nginx-canary网关路由。
出现该错误的原因是集群内没有对应的命名空间。 在集群下创建对应的命名空间并进行重试操作。 如:kubectl create namespace ns_name 如果不需要使用该命名空间,该异常事件可以忽略。 排查项一:proxy-agent的运行状态 集群从UCS注销后,原有proxy-agent配置文件中包含的认证
CCE网络插件实现会在路由表中添加路由,为了防止路由冲突造成网络无法联通,集群的VPC网段不能与其他集群的容器网段冲突。 操作步骤 登录云连接CC控制台,单击右侧“创建云连接”按钮。 弹出创建云连接界面,填写参数信息,单击“确定”,完成创建。 单击2中创建的云连接,在弹出的页签中,单击“加载网
错误码 如果操作请求在执行过程中出现异常导致未被处理,则会返回一条错误信息。错误信息中包括错误码和具体错误描述,表1列出了错误信息中的常见错误码及错误信息,您可根据描述处理相应的异常。 表1 错误码说明 错误码 状态码 错误信息 描述 UCS.00000001 400 Failed
插件未安装 插件未安装 运行中 插件全部实例状态都在运行中,插件正常使用 安装中 插件正在安装中 升级中 插件正在更新中 回滚中 插件正在回滚中 回滚失败 插件回滚失败,可重试回滚或卸载后重新安装 删除中 插件正在删除中 部分就绪 插件下只有部分实例状态为运行中,插件部分功能可用 不可用
的封装和转换。因此,在大流量场景下,该模式存在一定性能优势。 该模式下自动配置ipv4-native-routing-cidr,Cilium会在Linux内核中自动启用IP转发。 模式依赖: 在underlay模式下,运行Cilium的主机的网络必须能够使用分配给Pod或其他工作
管理员登录UCS控制台,为IAM用户授予集群资源对象操作权限。 操作方法如下: UCS控制台的“权限管理”仅针对本地或附着集群生效,对于华为云集群的资源操作权限,请授予CCE Administrator权限。 在“权限管理”页面创建权限(选择“只读权限”类型,表示对所有集群资源对象的只读权限)。 将创建的权限关联至舰队,或者未加入舰队的集群。
输入项目名称等信息,创建Scrum项目,创建成功后会自动跳转至Scrum项目首页。 图3 创建Scrum项目 配置服务扩展点 通过新建服务扩展点并在其中配置账号的IAM权限认证信息,您可以在CodeArts侧获取到在同云服务账号、以及跨账号的场景下UCS服务中的舰队信息,完成跨服
集群。 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 在目标舰队栏中单击“添加集群”,或单击右上角的按钮。 您也可以单击舰队名称进入舰队详情页,在“容器集群”页面单击右上角“添加集群”。 勾选一个或多个已有集群。一个集群只能加入一个舰队,因此列表中显示的集群均为未加入舰队的集群。
上报到云日志服务(LTS)的日志。 开启华为云集群控制面审计日志 创建集群时开启 登录云容器引擎(CCE)控制台。 在控制台上方导航栏,选择集群,单击“购买”。 在“插件配置”页面中,“控制面审计日志”模块勾选“审计日志采集”。 已有集群中开启 登录容器舰队控制台,单击集群名称进入集群,选择左侧导航栏的“日志中心”。
容器舰队 舰队是多个集群的集合,您可以使用舰队来实现关联集群的分类。舰队还可以实现多集群的统一管理,包括权限管理、安全策略、配置管理以及多集群编排等统一管理的能力。 容器舰队使用限制 仅华为云账号且具备UCS FullAccess权限的用户可进行舰队的创建、删除操作。 一个集群只能加入一个舰队。
本地集群 创建终端节点以私网接入本地集群 使用工作负载Identity安全访问云服务
容器迁移概述 华为云UCS的容器迁移服务为您提供了一种可靠、安全、灵活且高效的迁移方案。通过使用UCS,您可以将本地数据中心或其他云提供商上的Kubernetes集群中的云原生应用迁移到华为云UCS管理的Kubernetes集群中。这样,您可以实现统一的运维管理,降低管理成本并提高运维效率。
ocal Storage两种存储类型。 使用Emptydir模式普罗数据将存储在Pod中,请确保prometheus-server-0调度到的节点上的容器存储挂载容量满足所输入的容量大小。 使用Local Storage将会在您的集群内创建monitoring命名空间(如果不存在
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
