检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
身份认证与访问 UCS支持IAM与Kubernetes的角色访问控制(RBAC)的精细的权限管理,实现UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下: UCS服务资源权限:是基于IA
定的管理操作。 表1包括了UCS的所有系统权限。 表1 UCS系统权限 系统角色/策略名称 描述 类别 UCS FullAccess UCS服务管理员权限,拥有该权限的用户拥有服务的所有权限(包含制定权限策略、安全策略等)。 系统策略 UCS CommonOperations U
入门指引 UCS是一个分布式集群的统一管理平台,本文旨在介绍华为云UCS服务(Ubiquitous Cloud Native Service)的基本使用流程,帮助您快速上手UCS服务。 使用步骤 UCS最基础的入门操作包括创建容器舰队、添加集群、管理多集群生命周期,通过这三个步骤
新建IAM用户的权限管理主要流程可参见权限管理流程。 图2 权限管理流程 基本概念说明 UCS权限管理包含如下基本概念,其关系如图3所示。 用户:由管理员账号在统一身份认证服务(IAM)中创建的用户,是云服务的使用人员,具有独立的身份凭证(密码和访问密钥),根据账号授予的权限使用资源。
策略定义与策略实例的基本概念 策略定义 在创建策略实例之前,您需要先定义一个策略定义,它描述了强制执行约束的Rego代码和约束的模式。约束的模式允许管理员像调整函数参数一样微调约束的行为。策略定义中的Rego代码描述了强制执行的具体逻辑,根据您的需求来实现不同的合规性规则。而约束
使用流量分发实现应用故障倒换 应用场景 在分布式集群场景下,为了给用户提供低延迟的服务,应用可能部署在不同区域、不同厂商的云端上,在某个地区集群发生故障时,该地区的用户访问也随之会受到影响。利用UCS的流量管理和应用数据管理功能,可以实现多云多集群场景下的应用故障倒换、调度和迁移,故障倒换方案示意如图1所示。
在左侧导航栏中选择“自定义资源”,在右上角单击“YAML创建”。 在线编辑或选择导入自定义资源的YAML文件,单击“确定”。 其他操作: 单击操作列“查看YAML”,可查看自定义资源的YAML内容。 单击操作列“查看资源”,可查看集群中已有的自定义资源实例。 父主题: 单集群管理
填写如下参数: 图1 创建策略实例 策略定义:从内置的33个策略定义中选择一个,以便为您的集群或容器舰队配置资源审计规则。尽管当前不支持自定义策略定义,但这些预定义的策略定义基本可以满足您在合规性和安全性方面的需求。策略定义的详细介绍请参阅策略定义库概述。 策略执行方式:包括拦截和告
管理未加入舰队的集群 注册时未选择舰队的集群,或者从舰队中移出的集群,会展示在“未加入舰队的集群”页签中。本小节指导您管理未加入舰队的集群,进行加入舰队、关联权限等操作。 加入舰队 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 选择“未加入舰队的集群”页签,在目标集群栏中单击右上角的按钮。
ASM服务通过端到端的PEP(Policy Enforcement Points)隧道实现服务实例之间的通信,对端认证定义了流量如何通过隧道(或者不通过隧道)传输到当前服务的实例。已经注入sidecar的服务实例之间,默认通过隧道进行通信,流量会自动进行TLS加密。对等身份认证可以控制对目标工作负载上双向认证的模式。
集群、跨舰队的配置分发与配置管理的能力。对用户部署在各集群的业务提供实时的状态观测和消息通知,以确保应用出现问题时可以快速识别和定位,保障使用客户业务App的终端用户的使用体验和服务级别目标(SLO)达成。 Kustomize是一个Kubernetes应用程序配置管理工具,可提供
项目组A在开发过程中需要舰队1、2的管理员权限以及舰队3的只读权限。 项目组B在开发过程中需要舰队1、3的管理员权限以及舰队2的只读权限。 图1 权限设计 方案介绍 要想实现上述的权限隔离,必须结合使用IAM系统策略和UCS权限管理功能,IAM系统策略控制用户可操作哪些UCS控制台的功能,UCS权限管理控制用户可操作哪些舰队和集群资源。
跨云、跨地域集群统一接入,统一管理 支持跨云、跨地域的集群统一接入、统一管理,支持接入华为云集群、本地集群、附着集群、伙伴云集群和多云集群。 集群配置跨云、跨地域统一下发,管理更简单 支持多云多集群配置策略的统一管理,支持企业级项目租户的权限管理,可以通过统一的策略管理中心完成多云多集群的合规性审计。
UCS支持一键注册华为云集群(CCE Standard集群、CCE Turbo集群),注册完成后即可实现集群的统一管理。 UCS支持注册CCE Turbo分布式集群,它在CCE Turbo集群的基础上增加了管理边缘基础设施的能力,包括智能边缘云Homezone和智能边缘小站CloudPond。详细介绍请参见CCE用户指南。
插件管理 kube-prometheus-stack插件 log-agent插件 metrics-server volcano gpu-device-plugin e-backup插件 父主题: 单集群管理
网格管理 概述 启用网格 为网格添加集群 网格代理 使用kubectl连接网格控制面 版本特性 父主题: 服务网格
服务管理 命名空间 网格服务 服务版本 服务健康 关联服务 父主题: 服务网格
权限管理 创建权限策略 获取权限策略列表 删除权限策略 更新权限策略 父主题: API
权限管理 UCS权限概述 UCS服务资源权限(IAM授权) 集群中Kubernetes资源权限(RBAC授权) Kubernetes资源对象 示例:某公司权限设计及配置
Turbo集群,为集群提供应用分发、流量管理、集群监控、应用数据管理等多种功能。 注册华为云集群 统一身份认证 IAM UCS在统一身份认证服务(IAM)能力基础上,为您提供细粒度的权限管理功能。 权限管理 云解析服务 DNS UCS对接云解析服务,获取解析域名,提供大规模流量治理能力,实现流量的灵活接入。 流量分发
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
