检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
UCS计费项所示。 表1 UCS计费项 计费项 说明 适用的计费模式 计费公式 UCS集群管理服务 UCS集群管理服务费用由集群类型(包括华为云集群、本地集群、附着集群、多云集群和伙伴云集群)、集群vCPU容量和购买时长决定。 UCS服务管理费用不包括任何资源(例如计算节点、网络服务等)相关的费用。
使用策略定义库 策略定义库概述 k8spspvolumetypes k8spspallowedusers k8spspselinuxv2 k8spspseccomp k8spspreadonlyrootfilesystem k8spspprocmount k8spspprivilegedcontainer
服务管理 命名空间 网格服务 服务版本 服务健康 关联服务 父主题: 服务网格
集群联邦RBAC授权 UCS集群联邦可以实现基于华为云IAM的精细化权限管理。并在联邦中创建 Kubernetes 原生 RBAC 资源,实现联邦访问权限的精细化管理。 使用须知 UCS的权限管理功能与当前联邦RBAC授权互不影响。使用UCS API时,前者生效;使用KubeConfig直接操作联邦时,后者生效。
注册本地集群 本小节指导您将本地集群注册至UCS。 约束与限制 仅华为云账号且具备UCS FullAccess权限的用户可进行集群注册的操作。 前提条件 已在UCS控制台申请本地集群试用。 UCS集群配额充足。 节点/tmp目录需要预留20GB空间。 根据安装本地集群确保待执行机检查项已满足。
09:00:00 1 华为云集群vCPU数量: 40 * 30 / 60 + 60 * 30 / 60 = 50 本地集群vCPU数量: 10 * 30 / 60 + 30 * 30 / 60 = 20 华为云集群单价 : 0.0556 本地集群单价: 0.1668 华为云集群管理服务费用:
服务Operator 服务管理类插件用来管理服务实例的生命周期,由服务提供商提供,当集群首次部署对应服务实例时,会自动安装对应服务的管理插件,您可通过“服务插件 > 服务Operator”页面查看各个集群中部署的服务管理类插件。 操作场景 服务Operator是OSC管理的最大粒
示例:使用策略中心实现Kubernetes资源合规性治理 假设您是一家大型企业的平台工程师,负责整个基础设施环境的安全策略配置和管理,确保企业多个团队使用集群资源的合规性。利用UCS策略中心,您可以: 创建统一的策略实例:使用UCS策略中心创建一个统一的策略实例,包含所有团队需要
k8spspallowedusers 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: exemptImages: 字符串数组 runAsUser: rule: 字符串 ranges: - min: 整型 max: 整型 runAsGroup:
object spec是集合类的元素类型,您对需要管理的集群对象进行详细描述的主体部分都在spec中给出。UCS通过spec的描述来创建或更新对象。 status ClusterStatus object 集合类的元素类型,用于记录对象在系统中的当前状态信息。 表5 ObjectMeta
所有策略实例都包含一个“match”部分,这部分定义了策略实例应用的目标对象。通过“match”部分,您可以精准指定策略实例适用的资源类型、命名空间或其他特定条件,从而确保策略实例仅对满足这些条件的对象起作用。 表1为安全类策略定义,共16个,它们专注于确保集群和资源的安全性;
它可以将Kubernetes元数据(对象)保存为本地压缩包,然后将这些元数据恢复到目标集群(UCS华为云集群或多云集群)中,从而实现第三方云集群应用的迁移上云。 建议在用户业务量小时执行备份操作。 前提条件 确认云原生应用依赖的服务(镜像、存储、数据库等非集群内的数据)都已经迁移完成。
KubeConfig 获取KubeConfig文件 更新KubeConfig文件 父主题: 单集群管理
版本特性 1.18版本特性 父主题: 网格管理
ReadOnlyAccess 华为云集群 管理员权限 对华为云集群及集群下所有Kubernetes资源对象(包含节点、工作负载、任务、服务等)的读写权限。 UCS FullAccess + CCE Administrator 操作权限 对华为云集群及集群下大多数Kubernetes资源对象的读写权限
ngress为MCI对象的名称。 获取MCI对象:kubectl get mci nginx-ingress 更新MCI对象:kubectl edit mci nginx-ingress 删除MCI对象:kubectl delete mci nginx-ingress 通过MCI访问服务
获取账号ID 在调用接口的时候,部分URL中需要填入账号ID(domain-id),所以需要先在管理控制台上获取到账号ID。账号ID获取步骤如下: 注册并登录管理控制台。 单击用户名,在下拉列表中单击“我的凭证”。 在“API凭证”页面的项目列表中查看账号ID。 图1 获取账号ID
集群联邦概述 集群联邦 集群联邦是基于CNCF项目Karmada所提供的多云容器编排能力,旨在管理跨云、跨地域场景下的多集群应用,为您提供多集群统一管理、应用部署、服务发现、弹性伸缩、故障迁移等能力。 图1 集群联邦架构 集群联邦使用限制 仅或具备UCS FullAccess权限的用户可进行集群联邦的开通、关闭操作。
管理流量策略 暂停调度策略 对于已创建的流量策略,如发生集群故障倒换等突发场景时,支持将某个调度策略暂停使用,待故障解除后再启用调度策略。下面以暂停调度策略为例进行说明,启用调度策略的方法与暂停一致,不再赘述。 登录UCS控制台,在左侧导航栏中单击“流量分发”。 在对应的调度策略框右上角位置单击“暂停”。
策略中心概述 随着公司不断增加开发和生产集群的数量,确保在日益扩大的环境中创建和执行一致的配置和安全策略变得越来越具挑战性,这可能会阻碍运维效率。为了解决这个问题,UCS推出了基于OPA(Open Policy Agent)的Gatekeeper实现的策略中心功能。这一功能可以帮
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
