检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
监控风险安全 容器洞察提供基于Kubernetes原生类型的容器监控能力,支持集群、节点、工作负载的资源全景,支持节点的资源占用、工作负载的资源消耗,以及近一小时的CPU/内存指标展示,全面监控集群的健康状态和负荷程度。 关于UCS监控风险安全的详细介绍,请参见容器洞察章节。 父主题:
部署Nginx Ingress后状态为未就绪怎么办? 问题背景 创建Nginx Ingress后,Ingress处于“未就绪”状态。 解决方案 在创建Nginx Ingress前应为对应集群安装Nginx Ingress Controller插件,若未安装会导致Ingress处于
k8sreplicalimits 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:* 参数: ranges: min_replicas: 整型 max_replicas: 整型 作用 要求具有“spec.replicas”字段的对象(Deployments、ReplicaSets等)在定义的范围内。
asm-iam-authenticator使用参考 asm-iam-authenticator作为k8s client端的认证插件,主要提供了generate-kubeconfig和token两个子命令。 A tool to authenticate to ASM using HuaweiCloud
集群联邦RBAC授权 UCS集群联邦可以实现基于华为云IAM的精细化权限管理。并在联邦中创建 Kubernetes 原生 RBAC 资源,实现联邦访问权限的精细化管理。 使用须知 UCS的权限管理功能与当前联邦RBAC授权互不影响。使用UCS API时,前者生效;使用KubeConfig直接操作联邦时,后者生效。
UCS集群概述 UCS服务支持跨云、跨地域的集群统一接入、统一管理,支持接入如下几种集群类型: 华为云集群:包括华为云CCE集群和CCE Turbo集群。 本地集群:由UCS提供的、运行在您的数据中心基础设施之上的Kubernetes集群,如UCS on Bare Metal、UCS
访问日志的响应标记解读 UH(没有健康后端) 含义 UH(NoHealthyUpstream)表示上游服务没有健康的后端实例。 典型现象 目标服务的后端实例都不可用,如构造将目标服务的实例数设置为0。 典型日志 客户端日志。 应对建议 检查目标服务的负载配置,确认服务的实例均正常运行。
使用L7负载均衡Ingress-nginx Ingress-nginx控制器用于存储nginx配置,实现统一路由转发管理。关于Ingress-nginx的详细信息请参见Ingress-Nginx Controller和社区官方项目。 本小节将指导您为本地集群安装与使用Ingress-nginx。
注册附着集群(公网接入) 本章节讲述附着集群的注册及公网接入流程。 约束与限制 华为云账号用户需具备UCS FullAccess和VPCEndpoint Administrator权限。 若集群地域位于境外,应确保您的行为符合所适用的法律法规要求。 请确保注册的集群为通过CNCF一致性认证,且版本在1
log-agent插件 log-agent是基于开源fluent-bit和opentelemetry构建的云原生日志采集插件,支持基于CRD的日志采集策略,可以根据您配置的策略规则,对集群中的容器标准输出日志、容器文件日志、节点日志及K8s事件日志进行采集与转发。 log-age
k8spspvolumetypes 基本信息 策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数: volumes:数组 作用 约束PodSecurityPolicy中的“volumes”字段类型。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,paramete
k8sdisallowedtags 基本信息 策略类型:合规 推荐级别:L1 生效资源类型:Pod 参数: tags:字符串数组 exemptImages:字符串数组 作用 约束容器镜像tag。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,pararmeters中表示不允许容器镜像tag为latest。
配置调度策略(亲和与反亲和) Kubernetes支持节点和Pod两个层级的亲和(affinity)与反亲和(anti-affinity)调度。通过配置亲和与反亲和规则,可以允许您指定硬性限制或者偏好,例如将前台Pod和后台Pod部署在一起、某类应用部署到某些特定的节点、不同应用部署到不同的节点等等。
UCS权限概述 UCS在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对租户下的IAM用户设置不同的UCS资源权限,结合权限策略和舰队设计,可实现企业不同部门或项目之间的权限隔离。 图1 权限设计 UCS权限类型 UCS权限管理是在IAM
为附着集群开启监控 本章节讲述为附着集群开启监控的操作流程。 前提条件 已将附着集群注册到UCS中,具体操作请参见附着集群概述。 准备网络环境 附着集群的数据接入方式支持公网接入和私网接入。 公网接入是通过公网Internet接入,要求集群能够访问公网,具有弹性灵活、成本低、易接
命名空间 命名空间(Namespace)是对集群中一组资源和对象的抽象整合,可通过集群资源配额实现多个用户之间的资源划分,适用于多个团队或项目共享一个集群资源的场景。 创建命名空间 登录UCS控制台,在左侧导航栏中选择“容器舰队”。 在“容器舰队”页签下找到已开通集群联邦的舰队,单击名称进入详情页。
创建终端节点以私网接入本地集群 应用场景 用户在线下IDC有kubernetes集群,接入到UCS开启容器智能分析服务,能够与SWR、OBS通信,在无法通过公网连接的情况下,可以先通过VPN与华为云VPC连接,然后通过VPC终端节点服务,让VPC能够在内网访问UCS、SWR、DNS、OBS、CIA。
基础软件规划 本地集群节点的操作系统、内核版本等基础软件规划需要符合表1中的要求。 表1 基础软件规划 系统架构 系统类型 网络模型 操作系统版本 内核版本限制 x86 Ubuntu 22.04 Cilium 检查命令:cat /etc/lsb-release DISTRIB_DESCRIPTION="Ubuntu
kubectl配置指南 下载kubectl 请到Kubernetes版本发布页面下载1.25版本对应的kubectl。 Apple M1芯片是darwin-arm64架构,如果使用Apple M1芯片的设备,需要下载对应架构的kubectl。 下载asm-iam-authenticator
约束与限制 本小节主要为您介绍华为云UCS使用过程中的一些限制。 Kubernetes版本约束 接入UCS服务的Kubernetes集群版本必须在1.19至1.28之间。 区域限制 集群通过私网接入UCS时,需要通过云专线(DC)或虚拟专用网络(VPN)服务将云下网络与云上虚拟私
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
