检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
更多 集群联邦 集群联邦升级前检查不通过怎么办? 集群加入联邦失败怎么办? 集群加入联邦时,状态校验失败如何排查? 更多 流量分发 如何添加第三方域名? 更多 技术专题 技术、观点、课程专题呈现 Cloud Native Lives CNCF社区成功项目原理剖析与实践,趁热学点云原生技术。
创建内网DNS,在ECS上通过公网的方式访问服务,ECS请先绑定EIP或者NAT配置公网出口。 创建与ECS相同VPC的内网域名,该域名为MCI中指定的域名。 将两个ELB实例的公网IP分别添加至集群的记录集。 在ECS上通过域名curl demo.localdev.me访问对应的服务,查询返回,返回200为正常。 跨地域应用故障迁移验证
图6 修改安全组 验证集群间网络互通 登录本端集群节点,执行以下命令,验证本端集群节点与对端集群节点的通信情况。 ping 对端集群节点的IP地址 ping通则表示本端集群节点与对端集群节点间可以通信。 进入本端集群容器,执行以下命令,验证本端集群容器与对端集群容器的通信情况。
表3 请求Body参数 参数 是否必选 参数类型 描述 dnsSuffix 否 Array of strings 在联邦管理的域名访问功能中,用于更改根域名 响应参数 无 请求示例 更新容器舰队的联邦对应的zone POST https://ucs.myhuaweicloud.co
舰队用于权限精细化管理,一个集群只能加入一个舰队。若不选择舰队,集群注册成功后将显示在“未加入舰队的集群”页签下,后续还可以再添加至舰队中。 不支持在注册集群阶段选择已开通集群联邦能力的舰队,如果一定要加入这个舰队,请在集群注册成功后,再添加到该舰队中。关于集群联邦的介绍,请参见开通集群联邦章节。
ce模板才能重新部署。 集群内访问(ClusterIP) 表示工作负载暴露给同一集群内其他工作负载访问的方式,可以通过“集群内部域名”访问。集群内部域名格式为“<自定义的访问方式名称>.<工作负载所在命名空间>.svc.cluster.local”,例如“nginx.default
舰队用于权限精细化管理,一个集群只能加入一个舰队。若不选择舰队,集群注册成功后将显示在“未加入舰队的集群”页签下,后续还可以再添加至舰队中。 不支持在注册集群阶段选择已开通集群联邦能力的舰队,如果一定要加入这个舰队,请在集群注册成功后,再添加到该舰队中。关于集群联邦的介绍,请参见开通集群联邦章节。
问题描述 在舰队或未加入舰队的集群关联权限过程中,可能会因为集群接入异常而导致权限关联异常。当这种情况发生时,舰队或集群的“关联权限”页面会显示详细的权限关联异常事件。请先排查并修复集群中出现的异常,然后单击“重试”按钮重新关联权限策略。 排查思路 舰队或集群关联权限时出现异常事件
在UCS控制台中注册集群后,已在集群中部署proxy-agent,但界面一直提示“等待接入”,或在接入超时后提示“注册失败”。 如集群已处于“注册失败”状态,请单击右上角按钮重新注册集群,然后根据排查思路进行问题定位。 已接入的集群状态显示为“不可用”,请参考本文档中的排查思路解决。 排查思路
集群因策略拦截开启监控失败怎么办? 问题现象 集群开启监控时,接口返回报错,报错信息中含有gatekeeper字段。 集群开启监控请求下发成功,但是监控状态一直显示“安装中”,超时后显示“安装失败”,前往集群中检查插件的Pod状态,Pod的事件中含有gatekeeper字段。 原因分析 如果开启监控的
http 否 无 无 监控节点 源设备所在节点IP ALL 华为云AOM 域名对应IP地址 443 TCP http 否 https+证书 TLS v1.2 监控节点 源设备所在节点IP ALL 华为云LTS 域名对应IP地址 443 TCP http 否 https+证书 TLS v1
在UCS控制台中注册集群后,已在集群中部署proxy-agent,但界面一直提示“等待接入”,或在接入超时后提示“注册失败”。 如集群已处于“注册失败”状态,请单击右上角按钮重新注册集群,然后根据排查思路进行问题定位。 已接入的集群状态显示为“不可用”,请参考本文档中的排查思路解决。 排查思路
您需要拥有两个Kubernetes版本为1.19及以上的可用集群,并且各个集群中至少拥有一个可用节点。 您需要已有一个公网域名,并添加至华为云云解析(DNS)服务,具体操作请参考快速添加网站域名解析。 环境搭建 将集群注册到UCS并接入网络。具体操作请参见注册集群。 例如,将集群“cceclust
ingressClass名称。取值必须为public-elb。 host 否 String 为服务访问域名配置,默认为"",表示域名全匹配。请确保所填写的域名已注册并备案,一旦配置了域名规则后,必须使用域名访问。 backend 否 Backend Object 后端,是Service和端口名称的组合。对于发往MCI的
ASM服务通过端到端的PEP(Policy Enforcement Points)隧道实现服务实例之间的通信,对端认证定义了流量如何通过隧道(或者不通过隧道)传输到当前服务的实例。已经注入sidecar的服务实例之间,默认通过隧道进行通信,流量会自动进行TLS加密。对等身份认证可以控制对目标工作负载上双向认证的模式。
如果连接成功,则证明探测成功,否则探测失败。选择TCP端口探测方式,必须指定容器监听的端口。 例如:有一个nginx容器,它的服务端口是80,对该容器配置了TCP端口探测,指定探测端口为80,那么集群会周期性地对该容器的80端口发起TCP连接,如果连接成功则证明检查成功,否则检查失败。
如果连接成功,则证明探测成功,否则探测失败。选择TCP端口探测方式,必须指定容器监听的端口。 例如:有一个nginx容器,它的服务端口是80,对该容器配置了TCP端口探测,指定探测端口为80,那么集群会周期性地对该容器的80端口发起TCP连接,如果连接成功则证明检查成功,否则检查失败。
流量分发 如何添加第三方域名?
户可自定义转发规则,完成对访问流量的细粒度划分。图1展示了流量如何从MCI流向集群:从域名 foo.example.com 流入的流量流向了两个集群中带有标签 app:foo 的 Pod,从域名goo.example.com 流入的流量流向了两个集群中具有标签 app:goo的 Pod。
开通集群联邦 通过kubectl连接集群联邦 升级集群联邦 工作负载 配置项与密钥 服务与路由 多集群Ingress 多集群Service 域名访问 容器存储 命名空间 多集群负载伸缩 为集群添加标签与污点 集群联邦RBAC授权
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
