-
安装及验证 - 华为云UCS
安装及验证 在UCS控制台成功添加集群后,集群状态将会显示为“等待安装并接入”,此时UCS并没有为集群安装Kubernetes软件以及打通与集群的网络连接,因此需要在集群中配置网络代理来接入网络并完成集群安装。 请在添加集群后的24小时内接入网络,您可单击右上角按钮查看详细的网络
-
本地集群如何更新集群ca/tls证书? - 华为云UCS
本地集群如何更新集群ca/tls证书? 前提条件 本地集群各个组件运行正常。 集群各个节点处于ready状态。 操作步骤 下载ucs-ctl二进制工具,放到任一台本地集群的管控节点/root/ucs目录下。 将所有节点密码信息记录到表格中,并保存到二进制所在节点/root/ucs/update_cert
-
网关证书 - 华为云UCS
网关证书 控制台创建网关证书 登录UCS控制台,单击左侧导航栏中的“服务网格”,进入服务网格列表页。 单击服务网格名称,进入服务网格详情页。 在左侧导航栏,单击“服务网关 > 网关证书”,进入网关证书列表页面。 单击右上角“创建网关证书”,弹出创建网关界面。 填写配置参数,单击右下角“确定”,完成网关证书创建。
-
集群中Kubernetes资源权限(RBAC授权) - 华为云UCS
关联权限至舰队或未加入舰队的集群。 将权限关联至舰队,关联时需要选择权限作用的命名空间。也可以关联权限至未加入舰队的集群。 验证权限是否生效。 新创建的用户登录控制台,验证只读权限是否生效。 创建权限 登录UCS控制台,在左侧导航栏中选择“权限管理”。 单击右上角的“创建权限”按钮。 在弹出页面中填写权限参数。
-
依赖服务迁移 - 华为云UCS
本节介绍集群依赖服务的相关数据迁移,如本地存储、数据库、分布式缓存、分布式消息等。若您的集群不涉及这些数据,或者这些数据不需要搬迁上云,可忽略本节内容。 存储迁移 若您的集群使用本地存储,迁移上云可以使用华为云数据快递服务 DES。DES服务是一种海量数据传输解决方案,支持TB到
-
依赖服务迁移 - 华为云UCS
本节介绍集群依赖服务的相关数据迁移,如存储、数据库、分布式缓存、分布式消息等。若您的集群不涉及这些数据,或者这些数据不需要搬迁至华为云,可忽略本节内容。 存储迁移 若您的集群使用了云硬盘,跨云迁移可以使用华为云数据快递服务 DES。DES服务是一种海量数据传输解决方案,支持TB到
-
联邦权限精细化管理常见问题指导 - 华为云UCS
key",说明证书公钥和私钥匹配,否则说明不匹配,需要重新下载kubeconfig,验证完毕后删除临时文件: rm -f ca.crt tls.crt tls.key 检查证书是否过期。 首先保存证书到临时文件: cd ~/.kube cat config | jq '.users[0].user."clie
-
多云集群如何更新集群证书? - 华为云UCS
多云集群如何更新集群证书? 前提条件 集群各个组件运行正常。 集群各个节点处于ready状态。 操作步骤 下载ucs-ctl二进制工具,放到任一台本地集群的管控节点/root/ucs目录下。 将所有节点密码信息记录到表格中,并保存到二进制所在节点/root/ucs/update_cert
-
更新KubeConfig文件 - 华为云UCS
更新KubeConfig文件 本章节将指导您更新集群的KubeConfig文件,以便应对集群证书信息泄露或过期情况,或进行例行的安全维护。 更新KubeConfig文件的操作仅适用于附着集群与伙伴云集群。 前提条件 集群未加入任何舰队。 集群安装了anp-agent插件,以保证新
-
本地集群工作负载获取IAM Token - 华为云UCS
在UCS获取本地集群私钥签发的jwks,该公钥用于验证集群签发的ServiceAccount Token。 在 IAM 配置身份供应商,标志当前集群在IAM侧的身份。 为身份提供商配置集群签发的公钥,后续负载使用Token发送请求时,IAM使用该公钥验证Token。 添加 ServiceAccount
-
获取集群接入信息 - 华为云UCS
该API接口用于获取集群接入信息;传入的cluster ID必须符合k8s UUID的格式规则;同时需要用户有对应集群整数的获取权限,否则会鉴权失败;agent证书只可以下载一次。仅用于获取三方集群的集群接入信息,CCE集群不从该接口获取,如果传入CCE集群ID,返回码为400 URI GET /v1
-
服务网关概述 - 华为云UCS
服务网关概述 服务网关是网格的流量入口。网格外部的客户端通过服务网关访问网格内的服务。服务网关描述了外部访问端口、协议和证书等配置。同时,通过在服务网关上配置路由规则可以对网关入口流量进行管理,对于不同的访问协议可以配置不同的路由。 图1 服务网关 目前默认是基于Kubernetes
-
使用ucs-ctl命令行工具管理本地集群 - 华为云UCS
适用于UCS本地集群。 在使用ucs-ctl工具前,为防止您执行被篡改的ucs-ctl工具,请先进行工具的完整性校验,具体操作请参考安装及验证章节的ucs-ctl工具完整性校验操作步骤。 表1 常用命令 命令 解释 config generator 提供集群、节点的创建模板 create
-
下载联邦kubeconfig - 华为云UCS
Integer kubeconfig中证书的有效期 最小值:1 最大值:10950 响应参数 状态码: 201 表4 响应Body参数 参数 参数类型 描述 - File kubeconfig文件 请求示例 下载联邦kubeconfig POST https://ucs.myhuaweicloud
-
调度策略(亲和与反亲和) - 华为云UCS
Lt:标签的值小于某个值(字符串比较) 需要说明的是并没有nodeAntiAffinity(节点反亲和),因为NotIn和DoesNotExist可以提供相同的功能。 下面来验证这段规则是否生效,假设某集群有如下三个节点。 $ kubectl get node NAME STATUS ROLES
-
设置环境变量 - 华为云UCS
通过控制台设置的环境变量与Dockerfile中的“ENV”效果相同。 容器启动后,容器中的内容不应修改。如果修改配置项(例如将容器应用的密码、证书、环境变量配置到容器中),当容器重启(例如节点异常重新调度Pod)后,会导致配置丢失,业务异常。 配置信息应通过入参等方式导入容器中,以免重启后配置丢失。
-
路由 - 华为云UCS
TLS配置: 服务器证书:选择IngressTLS类型的服务器证书。若无符合条件的证书,可单击“创建IngressTLS类型的密钥证书”,请参考创建密钥创建一个指定类型的密钥证书。 SNI(Server Name Indication):输入域名并选择对应的证书。SNI是TLS的扩
-
安装前准备(私网接入) - 华为云UCS
安装前准备(私网接入) 本小节指导您进行本地集群的安装前准备。在选择私网接入集群时,才需执行安装前准备。选择“公网接入”时,可直接执行安装及验证。 本地集群的安装前准备包括创建虚拟私有云并与线下IDC网络环境打通、创建终端节点并将其配置在VPC中的DNS服务器中。 部署网络环境 在
-
云原生日志采集插件 - 华为云UCS
fluent-bit组件运行会使用到以下权限: CAP_DAC_OVERRIDE:忽略文件的 DAC 访问限制。 CAP_FOWNER:忽略文件属主 ID 必须和进程用户 ID 相匹配的限制。 DAC_READ_SEARCH:忽略文件读及目录搜索的 DAC 访问限制。 SYS_PTRACE:允许跟踪任何进程。
-
创建服务网关 - 华为云UCS
from: All # 支持All、Same、Selector 其他协议网关YAML示例可参考如下内容。 HTTPS协议网关 HTTPS协议网关,开启TLS终止,网关YAML示例如下: apiVersion: gateway.networking.k8s.io/v1beta1