检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
在AWS基础设施上构建多云集群时,将自动在AWS控制台创建以下资源,请确保资源配额足够: 表1 资源数量 资源类型 EC2 NAT VPC 子网 路由表 互联网网关 弹性IP 安全组 网络ACL ELB 网络接口 存储卷 数量 3台 3个 1个 6个 7个 1个 3个 5个 1个 1个 4个 6块 表2 EC2资源规格
5},其中${i}默认为0 安全组 5 ${clusterName}-node ${clusterName}-lb ${clusterName}-apiserver-lb ${clusterName}-controlplane default 以上安全组对应的VPC均为:${clusterName}-vpc
则可保留perl解释器,否则需要去除。 perl (/usr/bin/perl) 操作系统中不允许安装显示安全策略的工具 防止系统的安全信息泄露。依照业务需求,预安装的安全加固工具,限制其文件的所有者为root,并且仅root具有执行权限。 操作系统中不允许存在网络嗅探类的工具
本地集群接入网络的方法有两种,具有不同的优点: 公网接入:具有弹性灵活、成本低、易接入的优点。 私网接入:可获得更加高速、低时延、稳定安全的体验。 图2 集群接入原理 父主题: 本地集群
多功能:支持基于系统指标变动、自定义指标变动和固定时间周期进行负载伸缩,实现复杂场景下的负载伸缩。 多场景:使用场景广泛,典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理。 负载伸缩实现机制 UCS的负载伸缩能力是由FederatedHPA和C
raly网络相关介绍与操作请参见Cilium。 支持 附着集群 附着集群 需支持underlay网络 取决于附着集群网络类型 常见问题 若检测结果显示集群间节点或容器访问不通,请排查以下项目: 表3 排查项 排查方法 解决方案 确认集群版本是否在1.21及以上 进入集群详情页查看。
在实际生产环境中,多个集群可位于不同区域、可用区,甚至不同云服务商,实现应用的多活容灾。 已购买公网域名,并添加至华为云云解析(DNS)服务,具体操作请参考快速添加网站域名解析。 基础环境搭建 将集群注册到UCS并接入网络。具体操作请参见注册集群。 例如,将集群“ccecluster01”、“cceclu
多集群的统一配置策略管理,支持企业级项目的租户权限管理,可精细化管理子账号对接入Kubernetes资源的访问权限。以及统一管理各个集群的安全策略和资源访问限制,便于多云多集群的合规性审计。UCS还提供按“应用->Region->集群->资源粒度”进行监控运维,以及灵活的Dash
系统角色/策略名称 描述 类别 UCS FullAccess UCS服务管理员权限,拥有该权限的用户拥有服务的所有权限(包含制定权限策略、安全策略等)。 系统策略 UCS CommonOperations UCS服务基本操作权限,拥有该权限的用户可以执行创建工作负载、流量分发等操作。
检查ELB监听器后端是否正常挂载后端服务器组、后端实例是否运行正常,健康检查是否正常。 请提前放开容器的安全组。以CCE Turbo集群为例,请在集群总览页面>网络信息>默认容器子网安全组中放开其他地域的ELB实例的网段。 配置DNS访问 本文以华为云的内网DNS为例,您也可自行配置DNS。
取的用户Token。有了Token之后,您就可以使用Token认证调用其他API。 建议在配置文件或者环境变量中密文存放,使用时解密,确保安全。 图1 管理员创建IAM用户响应消息头 响应消息体(可选) 该部分可选。响应消息体通常以结构化格式(如JSON或XML)返回,与响应消息
按照服务功能进行分类,目前有“全部”、“运行时”、“流媒体&消息”、“集成交付”、“数据库”、“日志”、“监控”、“大数据”、“开发工具”、“网络”、“安全”、“AI/机器学习”、“其他”。 架构 服务支持的架构类型,当前分为“全部”、“X86_64”和 “ARM”。 交付方式 分为“全部”、“Operator”和“Helm”。
B)中的Service时,请求将会被路由到源集群的服务后端,从而实现跨集群服务发现及访问。 MCS的使用流程 MCS的使用流程见图2,具体的使用流程如下: 检测集群间的节点网络互通与容器网络互通,若未互通则需按照要求打通。具体操作请参见设置集群网络。 在集群联邦中提前部署可用的工作负载和服务。具体操作请参见准备工作。
正常,则需要继续检查其他排查项。 排查项二:集群与UCS网络连接状态 公网接入: 检查集群是否绑定公网IP或配置公网NAT网关。 检查集群安全组的出方向是否放通。如需对出方向做访问控制,请联系技术支持获取目的地址和端口号。 解决网络问题后,删掉已有的proxy-agent Pod
正常,则需要继续检查其他排查项。 排查项二:集群与UCS网络连接状态 公网接入: 检查集群是否绑定公网IP或配置公网NAT网关。 检查集群安全组的出方向是否放通。如需对出方向做访问控制,请联系技术支持获取目的地址和端口号。 解决网络问题后,删掉已有的proxy-agent Pod
ReadOnlyAccess几种类型。 UCS FullAccess:UCS服务管理员权限,拥有该权限的用户拥有服务的所有权限(包含制定权限策略、安全策略等)。 UCS CommonOperations:UCS服务基本操作权限,拥有该权限的用户可以执行创建工作负载、流量分发等操作。 UCS
ig.json文件,kubeconfig.json就拥有哪个用户的信息,这样使用kubectl访问时就拥有这个用户的权限。 约束限制 出于安全考虑,集群联邦apiserver不提供公网访问地址。UCS通过在您提供的VPC和子网中创建终端节点,并将该终端节点连接到集群联邦apise
正常,则需要继续检查其他排查项。 排查项二:集群与UCS网络连接状态 公网接入: 检查集群是否绑定公网IP或配置公网NAT网关。 检查集群安全组的出方向是否放通。如需对出方向做访问控制,请联系技术支持获取目的地址和端口号。 解决网络问题后,删掉已有的proxy-agent Pod
集群Kubernetes审计日志说明 类别 组件 日志流 说明 控制面审计日志 audit audit-{{clusterID}} 集群审计日志提供了与安全相关的、按时间顺序排列的记录集,记录每个用户、使用Kubernetes API的应用以及控制面自身引发的活动。 开启本地集群控制面审计日志
多介绍请参见创建权限。 舰队:舰队是多个集群的集合,管理员可以使用舰队来实现关联集群的分类。舰队还可以实现多集群的统一管理,包括权限管理、安全策略、配置管理以及多集群编排等统一管理的能力。舰队与权限是多对多的关系,即一个权限可以关联多个舰队,一个舰队也可以关联多个权限。 图3 权限关系示意图