检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
华为云的其他云产品来配套实现。具体请参见镜像迁移和依赖服务迁移。 应用备份 在这个阶段,您将对第三方云集群中的应用进行备份。UCS的k8clone工具可以自动收集Kubernetes元数据,并将其以压缩包的形式保存到本地,从而实现集群中应用的备份。具体请参见应用备份。 应用迁移
请求认证 在服务网格中配置请求授权,可以实现来源认证。在接收用户请求时,该配置用于认证请求头信息中的Access Token是否可信,并授权给来源合法的请求。请求认证通过负载选择器Selector选择目标负载。认证的规则通过JWTRule来描述,定义如何匹配JWT令牌上的认证信息。
文件将提供关于目标集群版本和规模的建议。 查看源集群及应用的采集数据。 您可以用文本编辑器或JSON查看器打开“cluster-*.json”文件以查看数据。在实际操作中,您需要将文件名中的“*”替换为实际的时间戳或序列号,以找到并打开正确的文件。 “cluster-*.json”文件说明如下:
文件将提供关于目标集群版本和规模的建议。 查看源集群及应用的采集数据。 您可以用文本编辑器或JSON查看器打开“cluster-*.json”文件以查看数据。在实际操作中,您需要将文件名中的“*”替换为实际的时间戳或序列号,以找到并打开正确的文件。 “cluster-*.json”文件说明如下:
文件将提供关于目标集群版本和规模的建议。 查看源集群及应用的采集数据。 您可以用文本编辑器或JSON查看器打开“cluster-*.json”文件以查看数据。在实际操作中,您需要将文件名中的“*”替换为实际的时间戳或序列号,以找到并打开正确的文件。 “cluster-*.json”文件说明如下:
流量分发概述 UCS提供的流量分发功能可基于访问位置和业务策略对全域流量进行最优化调度,支持跨云多集群服务接入和流量管理,实现智能流量分发调度,实时跨域、按需调配应用访问流量。 通过云解析服务DNS,用户的访问流量可根据运营商、地域等维度进行切分,对同一域名的访问请求进行不同的解析响应,指向
用户订阅服务后,可通过控制台选择指定的集群进行实例的创建,可以自定义将实例分发到不同区域下的目标集群。 约束与限制 已添加一个可用集群,集群版本为v1.15及以上,且集群中至少包含一个可用节点。 部分服务只支持特定的CPU架构,只能部署到对应CPU架构的集群中。 操作步骤 需要存储资源的实例在创建实例时会
集群移出舰队后,会展示在“未加入舰队的集群”页签,您仍然可以将集群重新添加至舰队中。具体操作请参见管理未加入舰队的集群。 注销舰队中的集群 登录UCS控制台,在左侧导航栏中单击“容器舰队”。 在“容器舰队”页签下单击舰队名称,进入舰队详情页。 在左侧导航栏中选择“容器集群”,在目标集群栏中,单击右上角的按钮。
销集群的权限策略,控制他们对UCS资源的使用范围。 UCS权限类型 UCS权限管理是在IAM与Kubernetes的角色访问控制(RBAC)的能力基础上,打造的细粒度权限管理功能。支持UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同
和后台Pod部署在一起、某类应用部署到某些特定的节点、不同应用部署到不同的节点等等。 节点亲和(nodeAffinity) 通过nodeSelector可以让Pod只部署在具有特定标签的节点上。如下所示,Pod只会部署在拥有gpu=true这个标签的节点上。 apiVersion:
攻击者具有集群工作负载的创建或更新权限。 集群中工作负载的容器镜像来源不可信,攻击者拥有修改源镜像权限。 漏洞影响 满足上述漏洞利用条件时,容器进程可能逃逸到节点,导致节点信息泄露或执行恶意命令。 典型漏洞利用场景 攻击者具有集群工作负载的创建或更新权限,创建工作负载时设置容器进程的WORKD
com/{uri},其中有三个参数。 表1 URL中的参数说明 参数 描述 {fleetname} 舰队名称,可在控制台内舰队基本信息中获取。 {Region} 服务应用区域的URL,可以通过终端节点(Endpoint)获取。 示例:华北-北京四的Region为cn-north-4 {uri}
您可以方便地使用云原生日志采集插件采集应用日志并上报LTS,从而更好地利用LTS日志服务提供给您的各种日志统计分析等功能。具体操作,请参见收集数据面日志。 支持收集集群控制平面组件日志和Kubernetes审计日志,将日志从master节点采集到您账号的LTS日志服务的日志流中。具体操作,请参见收
中有多名成员,权限分配如图1 权限设计所示。 项目组A在开发过程中需要舰队1、2的管理员权限以及舰队3的只读权限。 项目组B在开发过程中需要舰队1、3的管理员权限以及舰队2的只读权限。 图1 权限设计 方案介绍 要想实现上述的权限隔离,必须结合使用IAM系统策略和UCS权限管理功
交”。 将创建的终端节点配置到所使用的DNS服务器中。单击创建出的VPCEP节点名称,记录“节点IP”,以便在IDC的DNS Server中增加华为云的DNS转发器。 配置DNS服务器 配置DNS转发:在DNS服务器配置相应的DNS转发规则,将解析华为云内网域名的请求转发到DNS
使用工作负载Identity流程,具体流程如下: 前置授权。 在UCS获取本地集群私钥签发的jwks,该公钥用于验证集群签发的ServiceAccount Token。 在 IAM 配置身份供应商,标志当前集群在IAM侧的身份。 为身份提供商配置集群签发的公钥,后续负载使用Token发送请求时,IAM使用该公钥验证Token。
概述 应用程序升级面临最大挑战是新旧业务切换,将软件从测试的最后阶段带到生产环境,同时要保证系统不间断提供服务。如果直接将某版本上线发布给全部用户,一旦遇到线上事故(或BUG),对用户的影响极大,解决问题周期较长,甚至有时不得不回滚到前一版本,严重影响了用户体验。 灰度发布,是版
部署集群中创建一个同名的PVC,并同时创建与该PVC绑定的存储卷(PV)及其对应的存储资源。如您对Kubernetes中存储卷、存储卷声明及存储资源之间的关系不够了解,请参见持久化存储。 您可以在集群中对UCS自动创建的存储卷声明进行修改或删除。但如果不同步修改UCS中的存储卷声
如果您的集群中已安装符合基础规划的插件,您可以跳过此步骤。 更改驱动版本后,需要重启节点才能生效。 重启节点前需要排空节点中的Pod,在进行升级重启的操作。请注意预留GPU资源以满足节点排空过程中的Pod调度需求,防止资源不足导致Pod调度失败影响业务运行。 登录UCS控制台,单击集群名称进入集
如何清理多云集群资源? 在多云集群注销过程中,若因某些原因导致注销失败,您可以尝试重新进行注销操作。但在此之前,请确保已经在AWS控制台手动删除了集群关联的资源。本章节将为您提供这些资源的名称和数量,您可以分别访问AWS的EC2面板和VPC面板,查看并删除相应资源。 表1中,${clust
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
