检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用工作负载Identity安全访问云服务 应用场景 工作负载Identity允许集群中的工作负载模拟IAM用户来访问云服务,从而无需直接使用IAM账号的 AK/SK 等信息,降低安全风险。 本文档介绍如何在UCS中使用工作负载Identity。 方案流程 使用工作负载Identity的流程如图1
Matches urls including or not http/https allowedRegex: ^(http:\/\/www\.|https:\/\/www\.|http:\/\/|https:\/\/)?[a-z0-9]+([\-\.]{1}[a-z0-9]+)*\
从控制台获取项目ID 调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目列表API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”,其中{Endpoint}为IAM的终端节点,可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权。
注册时未选择舰队的集群,或者从舰队中移出的集群,会展示在“未加入舰队的集群”页签中。本小节指导您管理未加入舰队的集群,进行加入舰队、关联权限等操作。 加入舰队 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 选择“未加入舰队的集群”页签,在目标集群栏中单击右上角的按钮。 选择一个容器舰队。集群加
登录UCS控制台,在左侧导航栏中选择“容器舰队”。 在“容器舰队”页签下找到已开通集群联邦的舰队,单击名称进入详情页。 在左侧导航栏中选择“配置项与密钥”,切换至“密钥”页签。 选择需要创建密钥的命名空间,并单击右上角“创建密钥”。 参照表1设置基本信息。 表1 基本信息说明 参数 参数说明 名称 新建的密钥的名称,同一个命名空间内命名必须唯一。
找到对应的监听器单击“添加/编辑转发策略”,进入ELB监听器的转发策略页面,单击后端服务器组名称,进入后端服务器组页面,切换至后端服务器页签,查看该ELB是否成功绑定对应工作负载。 若后端服务器状态为已删除,请检查Pod的IP网段是否与ELB的VPC网段冲突。 若后端服务器组为空
登录UCS控制台,在左侧导航栏选择“容器舰队”页面,在“容器舰队”页签下单击目标舰队,进入舰队详情页。 在左侧导航栏选择“服务与路由”,切换至“多集群服务”页签,或者“多集群路由”页签。 选择状态一直为“删除中”的异常实例。 手动清理状态异常的MCS/MCI实例下的ELB残留资源: 单击异常实例的访问类型下的图
、为帐号充值等。 注册华为云并实名认证 如果您已有一个华为云帐户,请跳到下一个任务。如果您还没有华为云帐户,请参考以下步骤创建。 打开https://www.huaweicloud.com/,单击“注册”。 根据提示信息完成注册,详细操作请参见如何注册华为云管理控制台的用户?。
通过kubectl连接集群联邦 本文介绍如何使用kubectl连接集群联邦。 权限说明 kubectl访问集群联邦是通过集群联邦上生成的配置文件(kubeconfig.json)进行认证。kubeconfig.json文件内包含用户信息,UCS根据用户信息的权限判断kubectl
是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 响应参数 无 请求示例 集群移出容器舰队 POST https://ucs.myhuaweicloud.com/v1/clusters/{clusterid}/unjoin 响应示例 无 状态码 状态码
”,则调用接口时将“X-Auth-Token: ABCDEFJ....”加到请求消息头即可,如下所示。 1 2 3 POST https://iam.cn-north-1.myhuaweicloud.com/v3/auth/projects Content-Type: application/json
数据规划 防火墙规划 防火墙的规划需符合表1中要求。 表1 防火墙规划 源设备 源IP 源端口 目的设备 目的IP 目的端口(侦听) 协议 端口说明 侦听端口是否可更改 认证方式 加密方式 ucsctl执行机 源设备所在节点IP ALL 所有节点 目的设备所在节点IP 22 TCP
安全 责任共担 身份认证与访问 审计与日志 监控风险安全 认证证书
获取KubeConfig文件 KubeConfig文件用于配置对Kubernetes集群的访问,KubeConfig文件中包含访问注册Kubernetes集群所需要的认证凭据以及Endpoint(访问地址),通常与kubectl命令行工具或其他客户端结合使用。详细介绍可参见Kubernetes文档。
服务网关 服务网关概述 网关实例 网关路由 网关证书 父主题: 服务网格
deletePolicy 否 String 删除策略:Random、Oldest、Newest 响应参数 无 请求示例 更新集群区域 PUT https://ucs.myhuaweicloud.com/v1/clusters/{clusterid} { "kind" : "Cluster"
namespaces 否 Array of strings 权限策略涉及到的命名空间 响应参数 无 请求示例 更新容器舰队关联的权限策略 PUT https://ucs.myhuaweicloud.com/v1/clustergroups/{clustergroupid}/associatedrules
如需采集annotation,则在启动参数中以相同方法添加参数--metric-annotations-allowlist。 参考文档:https://github.com/kubernetes/kube-state-metrics/blob/v2.2.3/docs/cli-arguments
TLS 在更新流量策略内容时,可选择是否开启。 在VirtualService中,Tls是一种TLSRoute类型的路由集合,用于处理非终结的TLS和HTTPS的流量,使用SNI(Server Name Indication),即客户端在TLS握手阶段建立连接使用的服务Host名做路由选择。
现一个“业务监控”页签和“日志”页签,具体操作请参见业务监控/日志。 当服务支持实例配置参数可视化修改功能时,在服务实例详情界面会出现一个“配置修改”页签,具体操作请参见配置修改。 当服务支持独立的运维能力时,在服务实例详情界面会出现一个“Action”页签,具体操作请参见实例运维。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
