检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
oleBinding的字段含义详见使用 RBAC 鉴权。 使用如下命令创建对应的资源: kubectl apply -f list-deploy.yaml 创建完成后,<user-id>用户或<group-id>用户组下的用户可使用查看default命名空间的deployment:
权限相关 如何配置UCS控制台各功能的访问权限? IAM用户登录UCS无法获取集群或舰队怎么办? 误删除或修改ucs_admin_trust委托后如何恢复? 舰队或集群关联权限异常怎么办? 集群注销后如何清理权限相关资源? 如何精细化管理集群联邦权限?
手动续费的操作。 图1 续费管理 所有需手动续费的资源都可归置到“手动续费项”页签,具体操作请参见如何恢复为手动续费。 手动续费资源。 单个续费:在资源页面找到需要续费的资源,单击操作列的“续费”。 图2 单个续费 批量续费:在资源页面勾选需要续费的资源,单击列表左上角的“批量续费”。
Nvidia驱动:您可使用CCE提供的驱动地址或手动填写自定义Nvidia驱动的地址,集群下全部GPU节点将使用相同的驱动。 GPU虚拟化功能仅支持470.57.02、470.103.01、470.141.03、510.39.01、510.47.03版本的GPU驱动。 建议您使用CCE提供的驱动地址,以满足驱动版本的要求。
on中的多个AZ间通过高速光纤相连,以满足用户跨AZ构建高可用性系统的需求。 项目 区域默认对应一个项目,这个项目由系统预置,用来隔离物理区域间的资源(计算资源、存储资源和网络资源),以默认项目为单位进行授权,用户可以访问您账号中该区域的所有资源。如果您希望进行更加精细的权限控制
但这些预定义的策略定义基本可以满足您在合规性和安全性方面的需求。策略定义的详细介绍请参阅策略定义库概述。 策略执行方式:包括拦截和告警两种方式。拦截表示不符合策略要求的资源将无法创建,告警表示不符合策略要求的资源仅告警提醒,仍可以正常创建。 策略生效范围:选择生效的命名空间。 单
容器舰队概述 容器舰队 舰队是多个集群的集合,您可以使用舰队来实现关联集群的分类。舰队还可以实现多集群的统一管理,包括权限管理、安全策略、配置管理以及多集群编排等统一管理的能力。 容器舰队使用限制 仅华为云账号且具备UCS FullAccess权限的用户可进行舰队的创建、删除操作。 一个集群只能加入一个舰队。
格内所有服务的应用拓扑。 应用拓扑图中的连线颜色代表了当前连接的健康状况,连接展示什么颜色由错误率的值决定。当错误率小于1%时连线呈绿色;当错误率在[1%~10%]范围内连接呈黄色;当错误率大于10%连接呈红色。 单击拓扑中的服务节点,可以查看当前服务在所选时间内的指标数据;单击
将日志从master节点采集到您账号的LTS日志服务的日志流中。具体操作,请参见收集控制面组件日志和收集Kubernetes审计日志。 支持收集集群Kubernetes事件,将Kubernetes事件从集群内采集到您账号的LTS日志服务的日志流中,以便对Kubernetes事件
监控GPU虚拟化资源 本章介绍如何在UCS控制台界面查看GPU虚拟化资源的全局监控指标。 前提条件 完成GPU虚拟化资源准备。 当前本地集群内存在节点开启GPU虚拟化能力。 当前本地集群开启了监控能力。 GPU虚拟化监控 登录UCS控制台,在左侧导航栏选择“容器智能分析”。 选择对应的集群并开启监控,详细操作请参照集群开启监控。
在舰队或未加入舰队的集群关联权限过程中,可能会因为集群接入异常而导致权限关联异常。当这种情况发生时,舰队或集群的“关联权限”页面会显示详细的权限关联异常事件。请先排查并修复集群中出现的异常,然后单击“重试”按钮重新关联权限策略。 排查思路 舰队或集群关联权限时出现异常事件的排查思路大致可根据报错信息进行定位,如表1所示。
使用集群联邦实现应用多活容灾 应用场景 为了应对云单点宕机故障,UCS的集群联邦提供多云多活应用、秒级流量接管能力。业务应用的实例可以多云多活的部署在不同云上的容器服务中,当云单点宕机故障发生时,集群联邦可以秒级自动完成应用实例的弹性迁移以及流量的切换,业务的可靠性大大提升。 多活容灾方案示意如图1所示,
操作方法如下: UCS控制台的“权限管理”仅针对本地或附着集群生效,对于华为云集群的资源操作权限,请授予CCE Administrator权限。 在“权限管理”页面创建权限(选择“只读权限”类型,表示对所有集群资源对象的只读权限)。 将创建的权限关联至舰队,或者未加入舰队的集群。 集群、舰队权限列表
使用kubectl连接网格控制面 本文介绍如何使用kubectl连接网格控制面来创建istio Gateway/VirtualService等资源。 确保用户具有“Tenant Administrator”权限。 kubectl配置指南 asm-iam-authenticator使用参考
UCS构建了标准的金融应用生态,可以实现应用的跨地域跨云的统一分发和部署,支持业务实例跨云迁移。 云边统一协同 实现海量终端及边缘侧设备、应用的协同管理,加速金融行业智能安防、智慧网点的建设。 多云统一协同 构建多地多中心的金融数字化业务架构,实现跨云跨数据中心的统一治理。 建议方案
通。其中,跨VPC的CCE集群间网络可以通过创建对等连接的方式打通。 本文将介绍如何通过创建对等连接的方式,为跨VPC的CCE集群打通节点间与容器间网络。 设置集群网络类型 将集群的网络类型设置为underlay以支持集群间Pod通信。支持underlay网络的CCE集群类型如下:
服务授权 服务授权用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。服务授权通过负载选择器Selector选择目标负载。认证的规则通过JWTRule来描述,定义如何匹配JWT令牌上的认证信息。 创建服务授权 支持YAML创建服务授权。 登录UCS控制台,在左侧导航栏中单击“服务网格”。
将日志从master节点采集到您账号的LTS日志服务的日志流中。具体操作,请参见收集控制面组件日志和收集Kubernetes审计日志。 支持收集集群Kubernetes事件,将Kubernetes事件从集群内采集到您账号的LTS日志服务的日志流中,以便对Kubernetes事件
应用场景 工作负载Identity允许集群中的工作负载模拟IAM用户来访问云服务,从而无需直接使用IAM账号的 AK/SK 等信息,降低安全风险。 本文档介绍如何在UCS中使用工作负载Identity。 方案流程 使用工作负载Identity的流程如图1 使用工作负载Identity流程,具体流程如下:
对端认证 ASM服务通过端到端的PEP(Policy Enforcement Points)隧道实现服务实例之间的通信,对端认证定义了流量如何通过隧道(或者不通过隧道)传输到当前服务的实例。已经注入sidecar的服务实例之间,默认通过隧道进行通信,流量会自动进行TLS加密。对等
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
