检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
签名公钥:本地集群的jwks,获取方法请参见获取本地集群私钥签发的jwks。 身份转换规则 身份映射规则是将工作负载的 ServiceAccount 和 IAM 用户组做映射。 例如:在集群default命名空间下创建一个名为 XXX 的 ServiceAccount,映射到 demo 用户组(后续使用身份提供商
启用策略中心 创建、停用策略实例 查看策略列表 查看策略实施详情 UCS FullAccess 只读权限 对于已启用策略中心的舰队和集群,拥有该权限的用户可以查看策略列表和查看策略实施详情。 UCS CommonOperations 或 UCS ReadOnlyAccess 服务网格 管理员权限
Object 后端,是Service和端口名称的组合。对于发往MCI的 HTTP和HTTPS请求,如果与规则中的主机和路径匹配,则会被发送到所列出的后端。 注意: 后端在paths中的配置顺序决定了策略的转发优先级。 示例:如果为后端X配置两条转发策略a和b,为后端Y配置一条转发规则a
UCS在统一身份认证服务(IAM)能力基础上,为用户提供细粒度的权限管理功能,帮助用户灵活便捷地对租户下的IAM用户设置不同的UCS资源权限,结合权限策略和舰队设计,可实现企业不同部门或项目之间的权限隔离。 图1 权限设计 UCS权限类型 UCS权限管理是在IAM与Kubernetes的角色访问
选择舰队或未加入舰队的集群 选择一个附着集群。 单击“下一步:接入配置”,完成网络配置。 数据接入方式:支持选择“公网接入”和“私网接入”。 数据上报区域:选择数据上报的区域,和已连通第三方云网络的VPC属于同一区域。 项目列表:如果开通了IAM项目,还需要选择一个项目。 网络配置:数据接入方式为“私网接入”时需要配置。
选择舰队或未加入舰队的集群 选择一个伙伴云集群。 单击“下一步:接入配置”,完成网络配置。 数据接入方式:支持选择“公网接入”和“私网接入”。 数据上报区域:选择数据上报的区域,和已连通伙伴云网络的VPC属于同一区域。 项目列表:如果开通了IAM项目,还需要选择一个项目。 网络配置:数据接入方式为“私网接入”时需要配置。
选择舰队或未加入舰队的集群 选择一个本地集群。 单击“下一步:接入配置”,完成网络配置。 数据接入方式:支持选择“公网接入”和“私网接入”。 数据上报区域:选择数据上报的区域,和已连通云下网络的VPC属于同一区域。 项目列表:如果开通了IAM项目,还需要选择一个项目。 网络配置:数据接入方式为“私网接入”时需要配置。
配置合理的检查间隔和超时: 设置合理的periodSeconds(检查间隔)和timeoutSeconds(超时时间),以平衡检查频率和系统负载。 对于启动探针,可以设置较长的间隔和超时,以适应应用的启动时间。 容器出现故障或无法正常工作,系统可以自动重启该容器,从而提高应用的可用性和可靠性。
Ingress使用弹性负载均衡作为流量入口对外提供访问,在四层负载均衡访问方式的基础上支持了URI配置,通过对应的URI将访问流量分发到对应的服务。用户可根据域名和路径对转发规则进行自定义,完成对访问流量的细粒度划分。该访问方式由公网弹性负载均衡ELB服务地址、设置的访问端口、定义的URI组成,例如:10
假设A公司在华为云使用UCS服务管理多集群,公司中有多个职能团队,分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用IAM和UCS的权限管理,可以实现精细化授权的目标。 图1 组织结构示意图 行管团队:负责管理公司所有资源的团队。 开发团队:负责业务开发的团队。
luent-bit和opentelemetry构建的云原生日志采集插件,支持基于CRD的日志采集策略,可以根据您配置的策略规则,对集群中的容器标准输出日志、容器文件日志、节点日志及K8s事件日志进行采集与转发。安装云原生日志采集插件后,默认采集容器标准输出日志和集群内K8s事件。
可选范围为:5年、1年、6个月、30天、15天、14天、13天...1天,最短为1天。 在执行机上安装和配置kubectl。 拷贝kubectl及其配置文件到上述所选的vpc和子网下的执行机的/home目录下。 登录到您的执行机,配置kubectl cd /home chmod +x
采集Kubernetes事件:开启后,将创建名为default-event的日志策略,并上报所有命名空间下的Kubernetes事件到云日志服务(LTS)和应用运维管理(AOM)。 Kubernetes审计日志:采集Kubernetes审计日志并上报到云日志服务 (LTS)。 kube-apis
数据存储:配置容器存储,可以使用本地存储和存储卷声明(PVC)。建议使用PVC将工作负载Pod数据存储在云存储上。若存储在本地磁盘上,节点异常无法恢复时,本地磁盘中的数据也将无法恢复。容器存储相关内容请参见容器存储。 安全设置:对容器权限进行设置,保护系统和其他容器不受其影响。请输入用户ID,容器将以当前用户权限运行。
数据存储:配置容器存储,可以使用本地存储和存储卷声明(PVC)。建议使用PVC将工作负载Pod数据存储在云存储上。若存储在本地磁盘上,节点异常无法恢复时,本地磁盘中的数据也将无法恢复。容器存储相关内容请参见容器存储。 安全设置:对容器权限进行设置,保护系统和其他容器不受其影响。请输入用户ID,容器将以当前用户权限运行。
数据存储:配置容器存储,可以使用本地存储和存储卷声明(PVC)。建议使用PVC将工作负载Pod数据存储在云存储上。若存储在本地磁盘上,节点异常无法恢复时,本地磁盘中的数据也将无法恢复。容器存储相关内容请参见容器存储。 安全设置:对容器权限进行设置,保护系统和其他容器不受其影响。请输入用户ID,容器将以当前用户权限运行。
使用参考 asm-iam-authenticator作为k8s client端的认证插件,主要提供了generate-kubeconfig和token两个子命令。 A tool to authenticate to ASM using HuaweiCloud IAM credentials
数据存储:配置容器存储,可以使用本地存储和存储卷声明(PVC)。建议使用PVC将工作负载Pod数据存储在云存储上。若存储在本地磁盘上,节点异常无法恢复时,本地磁盘中的数据也将无法恢复。容器存储相关内容请参见容器存储。 安全设置:对容器权限进行设置,保护系统和其他容器不受其影响。请输入用户ID,容器将以当前用户权限运行。
数据存储:配置容器存储,可以使用本地存储和存储卷声明(PVC)。建议使用PVC将工作负载Pod数据存储在云存储上。若存储在本地磁盘上,节点异常无法恢复时,本地磁盘中的数据也将无法恢复。容器存储相关内容请参见容器存储。 安全设置:对容器权限进行设置,保护系统和其他容器不受其影响。请输入用户ID,容器将以当前用户权限运行。
态工作负载。 有状态工作负载(即Kubernetes中的StatefulSet):实例之间不完全独立,具有稳定的持久化存储和网络标示,以及有序的部署、收缩和删除等特性。如:mysql-HA、etcd,创建有状态工作负载请参见创建有状态工作负载。 守护进程集(即Kubernetes
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
