检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
应用场景 工作负载Identity允许集群中的工作负载模拟IAM用户来访问云服务,从而无需直接使用IAM账号的 AK/SK 等信息,降低安全风险。 本文档介绍如何在UCS中使用工作负载Identity。 方案流程 使用工作负载Identity的流程如图1 使用工作负载Identity流程,具体流程如下:
访问日志 服务网格提供了访问日志查询能力,可对网格中数据面所有Proxy的AccessLog进行采集。本文介绍如何查看采集的访问日志。 网格需已“启用访问日志”能力,如何开启请参考启用网格。 操作步骤 登录UCS控制台,单击左侧导航栏中的“服务网格”,进入服务网格列表页。 单击服务网格名称,进入服务网格详情页。
身份认证信息 响应参数 无 请求示例 无 响应示例 无 状态码 状态码 描述 200 关闭联邦成功 400 客户端请求错误,服务器无法执行请求 404 资源不存在 500 服务器内部错误 错误码 请参见错误码。 父主题: 容器舰队
service.” 出现该错误的原因是集群版本不符合要求:接入UCS服务的Kubernetes集群版本必须为1.19及以上。 - 排查项一:proxy-agent的运行状态 集群从UCS注销后,原有proxy-agent配置文件中包含的认证信息将会失效,请同时删除集群中已部署的proxy-ag
在目标舰队栏中单击“添加集群”,或单击右上角的按钮。 您也可以单击舰队名称进入舰队详情页,在“容器集群”页面单击右上角“添加集群”。 勾选一个或多个已有集群。一个集群只能加入一个舰队,因此列表中显示的集群均为未加入舰队的集群。 请确保所选择的集群符合表1中的约束条件,否则会出现集群添加成功,
务。 查看详情 选择服务所在的命名空间。 (可选)根据服务名称进行搜索。 单击服务名称即可查看服务详情,包括基本信息以及各集群的部署信息。 在服务详情页的部署集群栏中单击“查看YAML”,可查看各个集群中部署的服务实例YAML,并支持下载。 编辑YAML 单击服务名称后的“编辑Y
定的管理操作。 表1包括了UCS的所有系统权限。 表1 UCS系统权限 系统角色/策略名称 描述 类别 UCS FullAccess UCS服务管理员权限,拥有该权限的用户拥有服务的所有权限(包含制定权限策略、安全策略等)。 系统策略 UCS CommonOperations U
单个续费:在资源页面找到需要续费的资源,单击操作列的“续费”。 图2 单个续费 批量续费:在资源页面勾选需要续费的资源,单击列表左上角的“批量续费”。 图3 批量续费 选择UCS的续费时长,判断是否勾选“统一到期日”,将UCS套餐包到期时间统一到各个月的某一天(详细介绍请参见图4)。确认配置费用后单击“去支付”。
"xxxx-xxxx-xxxx" ] } 响应示例 无 状态码 状态码 描述 200 集群加入容器舰队成功 400 客户端请求错误,服务器无法执行请求 500 服务器内部错误 错误码 请参见错误码。 父主题: 容器舰队
服务网格 如何使用Istio API配置网关路由规则 如何监控插件是否异常 网格使用时无法创建代理,istio组件调度失败,一直处于pending状态 如何对接Jaeger/Zipkin查看调用链
策略定义与策略实例的基本概念 策略定义 在创建策略实例之前,您需要先定义一个策略定义,它描述了强制执行约束的Rego代码和约束的模式。约束的模式允许管理员像调整函数参数一样微调约束的行为。策略定义中的Rego代码描述了强制执行的具体逻辑,根据您的需求来实现不同的合规性规则。而约束
ederations 响应示例 无 状态码 状态码 描述 201 启用容器舰队联邦成功 400 客户端请求错误,服务器无法执行请求 404 资源不存在 500 服务器内部错误 错误码 请参见错误码。 父主题: 容器舰队
合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另外,华为云还提
[镜像名称1:版本名称1] [镜像仓库地址]/[组织名称]/[镜像名称2:版本名称2] 表1 标签参数说明 参数 参数说明 [镜像名称1:版本名称1] 请替换为您本地所要上传的实际镜像的名称和版本名称。 [镜像仓库地址] 请替换为5中登录指令末尾的域名。 [组织名称] 请替换为4中创建的组织名称。 [镜像名称2:版本名称2]
镜像。 启用策略中心功能后,系统将在舰队或集群上安装Gatekeeper插件。需要注意的是,插件会占用部分集群资源(如表1所示)。因此,在启用策略中心功能之前,请确保您的集群具有足够的资源。这将有助于确保策略中心功能的顺利部署,同时避免对现有工作负载的性能产生负面影响。 表1 Gatekeeper插件的资源占用情况
华为云UCS计费项 计费项 说明 适用的计费模式 计费公式 UCS集群管理服务 UCS集群管理服务费用由集群类型(包括华为云集群、本地集群、附着集群、多云集群和伙伴云集群)、集群vCPU数量和购买时长决定。如需了解如何查看所接入集群的vCPU数量,请参见查看集群的vCPU数量。 UCS服务管
问规则,包括关联的负载均衡器、URL以及访问的后端Service及端口等。 MCI Controller监控到MCI对象发生变化,会根据MCI中定义的规则,在ELB侧重新配置监听器以及后端服务器路由。 当用户进行访问时,流量根据ELB中配置的转发策略被转发到对应的后端Service关联的各个工作负载。
ObjectMeta object 集群的基本信息,为集合类的元素类型,包含一组由不同名称定义的属性。 spec 否 UpdateClusterSpec object spec是集合类的元素类型,您对需要管理的集群对象进行详细描述的主体部分都在spec中给出。UCS通过spec的描述来创建或更新对象。
有更新时,目标仓库的镜像也会自动更新。 具体请参见自动同步镜像。 云存储迁移 若您的集群使用了云硬盘或文件存储,跨区域迁移可以使用云备份 CBR。CBR为云上的弹性云服务器、裸金属服务器、云硬盘、文件存储、云下VMware虚拟化环境和本地文件目录,提供简单易用的备份服务,当发生病
对端认证 ASM服务通过端到端的PEP(Policy Enforcement Points)隧道实现服务实例之间的通信,对端认证定义了流量如何通过隧道(或者不通过隧道)传输到当前服务的实例。已经注入sidecar的服务实例之间,默认通过隧道进行通信,流量会自动进行TLS加密。对等
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
