检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何更新本地集群ca/tls证书? 前提条件 本地集群各个组件运行正常。 集群各个节点处于ready状态。 操作步骤 下载ucs-ctl二进制工具,放到任一台本地集群的管控节点/root/ucs目录下。 将所有节点密码信息记录到表格中,并保存到二进制所在节点/root/ucs/update_cert
ucs-ctl是管理UCS本地集群的命令行工具,在安装本地集群并使用ucs-ctl工具前,为防止您执行被篡改的ucs-ctl工具,请先进行工具的完整性校验。ucs-ctl的详细介绍请参见使用ucs-ctl命令行工具管理本地集群。 本地集群支持使用sha256校验文件来验证 ucsctl 文件的完整性。
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另
网关证书 控制台创建网关证书 登录UCS控制台,单击左侧导航栏中的“服务网格”,进入服务网格列表页。 单击服务网格名称,进入服务网格详情页。 在左侧导航栏,单击“服务网关 > 网关证书”,进入网关证书列表页面。 单击右上角“创建网关证书”,弹出创建网关界面。 填写配置参数,单击右下角“确定”,完成网关证书创建。
其中ucs_endpoint为server访问地址,可通过以下方式获取。 cat /var/paas/srv/kubernetes/kubeconfig | grep server 如果在安装集群的执行机上操作,可不用配置环境变量。 执行证书更新。 cd /root/ucs cp /var/
挂载本地存储 本地磁盘应用场景 使用本地磁盘有四种形式: 主机路径(HostPath):将容器所在宿主机的文件目录挂载到容器指定的挂载点中,如容器需要访问宿主机的/etc/hosts,则可以使用HostPath将宿主机的/etc/hosts路径映射至容器路径。 临时路径(Empt
UCS服务的计费方式如何由按需改为包年/包月? 当前UCS支持“按需计费”和“包年/包月”两种计费方式。当您希望以包年/包月套餐包的优惠价格使用UCS时,只需按照所接入UCS的集群类型、集群规模购买对应的套餐包,即可由按需计费模式转变为包年/包月计费模式。 父主题: 计费相关
S,请选择IngressTLS类型的服务器证书。若无符合条件的证书,可单击“创建IngressTLS类型的密钥证书”,参考密钥(Secret)创建一个指定类型的密钥证书。 SNI(Server Name Indication):SNI是TLS的扩展协议,在该协议下允许同一个IP地
如何精细化管理集群联邦权限? 如果您在访问联邦资源时出现如下错误提示,说明您没有对应资源的操作权限,请您向您的管理员申请授予对应的权限,创建对应的Role/RoleBinding或者ClusterRole/ClusterRolebinding权限。 如果出现“no such host”问题,请按以下步骤进行排查:
名称:新增路由的名称,用户可自定义。 命名空间:路由所在命名空间。 TLS配置: 服务器证书:选择IngressTLS类型的服务器证书。若无符合条件的证书,可单击“创建IngressTLS类型的密钥证书”,请参考创建密钥创建一个指定类型的密钥证书。如需获取TLS证书,请参考如何获取TLS密钥证书?。
获取集群接入信息 功能介绍 该API接口用于获取集群接入信息;传入的cluster ID必须符合k8s UUID的格式规则;同时需要用户有对应集群证书的获取权限,否则会鉴权失败;agent证书只可以下载一次。仅用于获取三方集群的集群接入信息,CCE集群不从该接口获取,如果传入CCE集群ID,返回码为400
key的值secret_value导入为环境变量key2的值,导入后容器中有一个名为key2的环境变量,其值为secret_value。 变量引用:用Pod定义的字段作为环境变量的值,例如Pod的名称。 资源引用:用Container定义的字段作为环境变量的值,例如容器的CPU限制。
t_key的值secret_value导入为环境变量key2的值,导入后容器中有一个名为key2的环境变量,其值为secret_value。 变量/变量引用:用Pod定义的字段作为环境变量的值,例如Pod的名称。 资源引用:用Container定义的字段作为环境变量的值,例如容器的CPU限制。
- 对于集群中的自定义资源,在集群联邦中注册该CRD后,才可支持通过集群联邦入口进行操作。 Ingress对象的UPDATE和PATCH操作仅支持集群联邦控制面中的资源,不支持成员集群中的资源。 常见问题 如果您在访问联邦资源时出现如下错误提示,说明您没有对应资源的操作权限,请参考集群联邦RBAC授权添加授权。
CS支持对于本地集群上的3个master节点上的证书文件、加解密物料、etcd数据等信息的备份,以保障UCS本地集群故障后的数据恢复。 约束与限制 无论是单master还是多master故障,节点IP须保持不变。 集群备份 本地备份 创建备份文件压缩包存放的目录。 执行备份命令:
原生K8s集群的服务端证书默认地址为master节点的“/etc/kubernetes/pki/ca.crt”。 token 字符串 用户以token方式进行认证,参数值为4中获取的token值。 三选一 说明: 优选token方式,UCS不支持除这三种方式外的其他认证方式。 client-certificate-data
服务网关概述 服务网关是网格的流量入口。网格外部的客户端通过服务网关访问网格内的服务。 服务网关描述了外部访问端口、协议和证书等配置。同时,通过在服务网关上配置路由规则可以对网关入口流量进行管理,对于不同的访问协议可以配置不同的路由。 图1 服务网关 目前默认是基于Kubernetes
更新KubeConfig文件 本章节将指导您更新集群的KubeConfig文件,以便应对集群证书信息泄露或过期情况,或进行例行的安全维护。 更新KubeConfig文件的操作仅适用于附着集群与伙伴云集群。 前提条件 集群未加入任何舰队。 集群安装了anp-agent插件,以保证新的KubeConfig文件能与集群完成一次连通性探测。
云厂商提供的负载均衡器或相关的LB硬件设备,还可以通过Keepalived和Haproxy的方式实现多个Master节点的高可用部署。 【推荐配置】ELB对上述监听端口开启源地址透传,并关闭环路检查能力。若无法单独关闭环路检查,则需关闭源地址透传。判断是否存在环路检查的方法如下:
Failed to get certs. 获取证书失败 UCS.00020003 500 Failed to create certs. 创建证书失败 UCS.00020003 500 Failed to delete certs. 删除证书失败 UCS.00030001 404 Cluster
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
