检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
认证鉴权 调用接口有如下两种认证方式,您可以选择其中一种进行认证鉴权。 Token认证:通过Token认证调用请求。 AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。
更新KubeConfig文件 本章节将指导您更新集群的KubeConfig文件,以便应对集群证书信息泄露或过期情况,或进行例行的安全维护。 更新KubeConfig文件的操作仅适用于附着集群与伙伴云集群。 前提条件 集群未加入任何舰队。 集群安装了anp-agent插件,以保证新
asm-iam-authenticator使用参考 asm-iam-authenticator作为k8s client端的认证插件,主要提供了generate-kubeconfig和token两个子命令。 A tool to authenticate to ASM using HuaweiCloud
工作负载升级配置 在实际应用中,升级是一个常见的场景,Deployment、StatefulSet和DaemonSet都能够很方便地支撑应用升级。 通过控制台配置工作负载升级 在创建工作负载时,单击“展开高级配置”。 参考表1,设置升级策略。 表1 参数说明 参数 描述 升级方式
使用L7负载均衡Ingress-nginx Ingress-nginx控制器用于存储nginx配置,实现统一路由转发管理。关于Ingress-nginx的详细信息请参见Ingress-Nginx Controller和社区官方项目。 本小节将指导您为本地集群安装与使用Ingress-nginx。
使用MCI 约束限制 当前MCI仅支持版本为1.21及以上的CCE Turbo集群、网络模型为underlay的其他Kubernetes集群创建。 请提前做好网络规划,保证成员集群间容器网络不冲突,确保ELB实例与容器Pod IP网络可达。若MCI的ELB实例与集群处于不同VPC内,请提前打通VPC间的网络。
配置调度策略(亲和与反亲和) Kubernetes支持节点和Pod两个层级的亲和(affinity)与反亲和(anti-affinity)调度。通过配置亲和与反亲和规则,可以允许您指定硬性限制或者偏好,例如将前台Pod和后台Pod部署在一起、某类应用部署到某些特定的节点、不同应用部署到不同的节点等等。
服务授权 服务授权用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。服务授权通过负载选择器Selector选择目标负载。认证的规则通过JWTRule来描述,定义如何匹配JWT令牌上的认证信息。 创建服务授权 支持YAML创建服务授权。 登录UCS控制台,在左侧导航栏中单击“服务网格”。
如何手动清理本地集群节点? 使用须知 节点清理属于高危操作,会将节点上已安装的进程(包括kubernetes进程、containerd等)和数据(包括容器、镜像等)全部清理,一旦执行清理操作节点状态将不可恢复。因此,执行之前请确认节点是否已经不再被本地集群使用。 使用场景 本地集群ucs-ctl
管理本地集群节点 本小节介绍如何通过ucs-ctl工具管理本地集群节点。 ucs-ctl是管理UCS本地集群的命令行工具,ucs-ctl的详细介绍请参见使用ucs-ctl命令行工具管理本地集群。 纳管节点 在执行机上使用./ucs-ctl config generator -t node
容忍策略 容忍策略允许调度器将Pod调度至带有对应污点的节点上,需要与节点污点配合使用。每个节点可以添加一个或多个污点,对于未设置节点容忍策略的Pod,调度器会根据集群上的污点效果进行选择性调度,以避免Pod被分配到不合适的节点上。 通过控制台配置容忍策略 登录UCS控制台。 在
权限管理 如果您需要对购买的UCS资源,给企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制资源的访问。
身份认证与访问 UCS支持IAM与Kubernetes的角色访问控制(RBAC)的精细的权限管理,实现UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下: UCS服务资源权限:是基于IA
舰队开通联邦校验失败怎么办? 问题背景 舰队开通集群联邦功能后,UCS服务会把当前舰队已存在的集群及新加入到舰队的集群自动添加到联邦中。添加过程中,舰队会对集群的网络状态、集群版本、clusterrole、clusterrolebinding等项目做校验。如果添加过程中校验存在问
健康诊断 概述 健康诊断是容器智能分析的一个重要功能,用于诊断集群的健康状态。开通容器智能分析后,健康诊断将基于集群的配置和kube-prometheus-stack插件上报至AOM的指标,从集群、节点、工作负载、核心插件、外部依赖的维度出发,提供全面的集群健康状态检查。同时,该
基础软件规划 本地集群节点的操作系统、内核版本等基础软件规划需要符合表1中的要求。 表1 基础软件规划 系统架构 系统类型 网络模型 操作系统版本 内核版本限制 x86 Ubuntu 22.04 Cilium 检查命令:cat /etc/lsb-release DISTRIB_DESCRIPTION="Ubuntu
执行kubectl命令报错Error from server (Forbidden)怎么办? 问题描述 在使用集群联邦的过程中,执行kubectl命令,出现如下所示的报错信息。 可能原因 可能是由于集群联邦内成员集群的资源对象ClusterRole或者ClusterRoleBin
TLS 在更新流量策略内容时,可选择是否开启。 在VirtualService中,Tls是一种TLSRoute类型的路由集合,用于处理非终结的TLS和HTTPS的流量,使用SNI(Server Name Indication),即客户端在TLS握手阶段建立连接使用的服务Host名做路由选择。
集群因策略拦截开启监控失败怎么办? 问题现象 集群开启监控时,接口返回报错,报错信息中含有gatekeeper字段。 集群开启监控请求下发成功,但是监控状态一直显示“安装中”,超时后显示“安装失败”,前往集群中检查插件的Pod状态,Pod的事件中含有gatekeeper字段。 原因分析
服务与路由概述 集群为满足多种复杂场景下的工作负载访问,提供了不同的访问方式,从而满足不同的业务需求。 通过UCS控制台创建服务(Service)、路由(Ingress)后,每个关联工作负载的所属集群中都会创建一个同名的Service、Ingress。 您可以在集群中对UCS自动