检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
Binding等相关权限和角色配置,避免将资源查看权限赋予“Karmada-”为前缀的命名空间;建议使用Role、RoleBinding对指定用户命名空间的资源赋予权限。 集群联邦RBAC授权 UCS集群联邦使用Kubernetes原生RBAC鉴权方式,通过创建RBAC资源,为子用户授予联邦访问权限。
在“节点亲和性”、“工作负载亲和性”、“工作负载反亲和性”下单击添加调度策略。在弹出的窗口中可以直接添加策略、指定节点或指定可用区。 指定节点和指定可用区本质也是通过标签实现,只是通过控制台提供了更为便捷的操作。指定节点使用的是 kubernetes.io/hostname 标签,可用区使用的是 failure-domain
登录UCS控制台,进入集群联邦页面。 在创建工作负载时,在“高级配置”中找到“调度策略”。 表1 节点亲和性设置 参数名 参数描述 必须满足 即硬约束,设置必须要满足的条件,对应于requiredDuringSchedulingIgnoredDuringExecution,多条规则间是
华为云UCS提供包年/包月、按需计费两种计费模式,以满足不同场景下的用户需求。 包年/包月是一种预付费模式,即先付费再使用,按照订单的购买周期进行结算,因此在购买之前,您必须确保账户余额充足。 按需计费是一种后付费模式,即先使用再付费,按照实际使用时长计费。 在购买集群或集群内资源后,如果发现当前计费模式无法满足业务需求,您还可以变更计费模式。
tPath”字段的参数。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中的allowedHostPaths指定了字段的值。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind: K8sPSPHostFilesystem
选择需要创建密钥的命名空间。 单击“创建密钥”。 参照表1设置基本信息。 表1 基本信息说明 参数 参数说明 名称 新建的密钥的名称,同一个命名空间内命名必须唯一。 命名空间 新建密钥所在的命名空间,默认为当前查看的命名空间。 描述 新建密钥的描述。 密钥类型 新建的密钥类型。 Opaque:一
集群级别的资源,它的作用范围要比命名空间大很多,全集群可见,并且可以调用,不属于某一个命名空间,因此资源对象的名称必须全局唯一。 集群级别的资源,不管在任何命名空间下定义,在其他的命名空间下都能看得到,在定义的时候无需指定命名空间。 常见的集群级资源有:Namespace(命名空间)、Node(节点)、Ro
UCS服务只读权限(除容器智能分析只读权限)。 系统策略 另外,华为云各服务之间存在业务交互关系,UCS也依赖其他云服务实现一些功能(如镜像仓库、域名解析),因此,上述几种系统策略经常和其他云服务的角色或策略结合使用,以达到精细化授权的目的。管理员在为IAM用户授权时,应该遵循权限最小化
网格管理 概述 启用网格 为网格添加集群 网格代理 使用kubectl连接网格控制面 版本特性 父主题: 服务网格
182 在UCS所在区域新建一个VPCEP,并指定该IP地址,单击“查看已使用IP地址”以确保该IP地址未使用。如IP地址已占用,则需编辑集群中的proxy-agent配置,请参考编辑proxy-agent配置。 图1 购买终端节点(指定节点IP) 单击“立即购买”,重新创建一个VPCEP。
tl”。 图1 kubectl连接信息 参照页面中的提示信息,选择对应的项目名称、虚拟私有云(VPC)、控制节点子网以及有效期,单击“下载”,下载kubectl配置文件。 下载下来的文件名为kubeconfig.json。 图2 kubectl连接联邦实例 kubeconfig.
约束PodSecurityPolicy中的“allowedProcMountTypes”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中指定了procMount的值为Default。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind:
集群联邦 使用集群联邦实现应用多活容灾 使用对等连接打通CCE集群网络 使用多集群负载伸缩扩缩工作负载 通过MCI实现跨集群业务流量分发 UCS双集群高可用部署
自动生成”。 自动生成:系统会自动分配端口号。 指定端口:指定固定的节点端口,默认取值范围为30000-32767。若指定端口时,请确保同个集群内的端口唯一性。 (可选)单击“展开高级配置”,设置工作负载高级配置。 升级策略:指定守护进程集的升级方式,包括整体替换升级和逐步滚动升
升级集群版本,具体操作请参见升级集群。 确认集群网络类型是否支持underlay网络 参照表2进行排查。 参照表2进行设置。 排查网络是否存在网段冲突 进入对等连接详情页查看。 修改对等连接路由中的冲突网段。 父主题: 使用MCS
ce资源对象。 kubectl create -f vs.yaml 以上步骤3、4使用的kubectl连接的是网格控制面,如何配置网格kubectl,请参考使用kubectl连接网格控制面。 结果验证。执行以下命令,访问nginx服务成功。 父主题: 服务网格
配置服务扩展点 在服务扩展点中配置IAM信息,相关信息填写指导见表1。 图6 新建服务扩展点 表1 配置IAM信息参数说明 参数 说明 连接名称 扩展点连接名称。可自定义,本示例中为IAM01。 Access Key Id 访问密钥ID,获取方法请参见获取访问密钥AK/SK。 Secret
$HOME/.kube/config 默认情况下,自建集群的配置文件路径为Master节点的“$HOME/.kube/config”,如您的集群指定了其他KubeConfig配置文件,请自行更换路径。关于KubeConfig文件的详细说明请参见使用KubeConfig文件组织集群访问。
kspider工作原理 kspider工具的架构如图1所示,包含三个模块:采集模块、连接管理和分析模块。采集模块可以收集源集群的数据,包括命名空间、工作负载、节点、网络等;连接管理模块负责与源集群的API Server建立连接;分析模块分为聚合输出和评估推荐两部分,旨在输出源集群的采集数据(生成“cluster-*
kspider工作原理 kspider工具的架构如图1所示,包含三个模块:采集模块、连接管理和分析模块。采集模块可以收集源集群的数据,包括命名空间、工作负载、节点、网络等;连接管理模块负责与源集群的API Server建立连接;分析模块分为聚合输出和评估推荐两部分,旨在输出源集群的采集数据(生成“cluster-*
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
