检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
有权限访问哪些Kubernetes资源。即哪个用户获取kubeconfig.json文件,kubeconfig.json就拥有哪个用户的信息,这样使用kubectl访问时就拥有这个用户的权限。 约束限制 出于安全考虑,集群联邦apiserver不提供公网访问地址。UCS通过在您提
部署应用并配置ServiceAccount。 挂载对应ServiceAccount的Token。 验证获取的Token能否正常进行访问。 访问IAM接口获取IAM Token。 使用IAMToken 访问云服务。 图1 使用工作负载Identity流程 获取本地集群私钥签发的jwks 使用kubectl连接本地集群。
虚拟专用网络(VPN)方案:请参见通过VPN连接云下数据中心与云上VPC。 云专线(DC)方案:请参见用户通过单专线静态路由访问VPC或用户通过单专线BGP协议访问VPC。 云下、云上网络打通后,建议从本地数据中心服务器ping目标VPC下的华为云服务器私网IP,以验证网络是否成功连接。
先删除一个访问密钥,然后才能创建新的访问密钥。您也可以使用已有的密钥来创建UCS on AWS集群。 图2 创建访问密钥 在“检索访问密钥”页面上,单击“显示”获取用户的秘密访问密钥的值,或单击“下载 .csv 文件”按钮。这是您保存秘密访问密钥的唯一机会。将秘密访问密钥保存在安全位置后,请单击“完成”。
身份认证与访问 UCS支持IAM与Kubernetes的角色访问控制(RBAC)的精细的权限管理,实现UCS服务资源权限、集群中Kubernetes资源权限两种维度的权限控制,这两种权限针对的是不同类型的资源,在授权机制上也存在一些差异,具体如下: UCS服务资源权限:是基于IA
容器智能分析 管理员权限 接入、取消接入集群 查看基础设施、应用负载等多维度监控数据 UCS CIAOperations 云原生服务中心 管理员权限 云原生服务中心的所有权限,包括订阅服务、查看服务列表或详情、创建服务实例、查看实例列表或详情、删除服务实例、退订服务等操作。 UCS FullAccess
当通过云解析服务创建公网域名后,系统默认生成的NS类型记录集的值即为云解析服务的DNS服务器地址。 若域名的DNS服务器设置与NS记录集的值不符,则域名无法正常解析,您需要到域名注册商处将域名的DNS服务器修改为华为云云解析服务的DNS服务器地址。 更改后的DNS服务器地址将于48小时内生效,具体生效时间请以域名注册商处的说明为准。
0/24 EIP地址 EIP地址在购买EIP时由系统自动生成,无需填写,VPN网关默认使用2个EIP。本示例假设EIP地址生成如下: 主EIP:11.xx.xx.11 备EIP:11.xx.xx.12 VPN连接 Tunnel接口地址 用于VPN网关和对端网关建立IPSec隧道,配置时两边需要互为镜像。
使用南北向MCS,可以将用户在集群中的联邦Service,暴露四层的访问入口至ELB实例上,客户可以通过ELB实例上的监听端口,使用公网或私网访问暴露在集群中的服务。 南北向MCS的工作原理 南北向MCS的功能主要通过请求转发执行器MCS Controller实现。MCS Contr
提高微服务韧性的一个非常典型的手段,会自动隔离不健康的实例,提高服务整体访问成功率。 熔断器跟踪服务实例的访问状态,通过跟踪一段时间内服务实例的访问请求判定其健康状况,将不健康的实例从连接池中隔离,从而提高服务总体的访问成功率,适用于HTTP和TCP服务。 对于HTTP服务,连续
vpcendpoint 否 String VPC终端节点的IP地址。私网接入的集群必填,且必须是打通线下集群的VPC终端节点。 创建VPC终端节点及查询IP地址的方法请参见创建终端节点。 region 否 String 接入region,私网接入的集群必填 请求参数 表3 请求Header参数
重写 开启重写,可以在不修改客户端的访问的目标地址前提下,根据配置重写请求的URL。 YAML设置如下: apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: ratings-route
nginx-ingress 通过MCI访问服务 MCI对象创建成功后,您可以通过 http://IP:port/path 访问后端工作负载,其中IP:port为MCI关联ELB的IP和端口,path为MCI对象中定义的路径。 MCI对象中还可以设置外部域名,这样您就可以通过域名来访问到ELB,进而访问到后端服务。
Service名称:新增服务名称,用户可自定义,服务名称必须唯一。 访问类型: 集群内访问(ClusterIP):只能集群内访问服务。 节点访问(NodePort):可以通过集群内任意节点访问到服务。 负载均衡(LoadBalancer):通过弹性负载均衡从公网访问到工作负载。 服务亲和(仅节点访问、负载均衡设置):
节点访问(NodePort) 表示工作负载可以从集群外部访问。节点访问 ( NodePort )是指在每个节点的IP上开放一个静态端口,通过静态端口对外暴露服务。当集群中的节点绑定了EIP时,通过请求<EIP>:<NodePort>,也可实现从公网访问工作负载。 负载均衡(LoadBalancer)
节点paas用户处于可创建状态 节点paas用户不存在且id为10000的用户未被占用 ntp服务检查 ntp服务处于可用状态 chrony需配置好ntpserver服务器,在节点执行 chronyc sources -v 可检查ntpserver服务器状态 说明: 默认ntp为chron
查看“错误率”的相关参数。 服务访问错误率 其他服务访问productpage错误率 其他服务访问productpage请求错误QPS productpage访问其他服务错误率 productpage访问其他服务请求错误QPS 查看“请求时延”的相关参数。 其他服务访问productpage延时
查其他排查项。 排查项二:集群与UCS网络连接状态 公网接入: 检查集群是否绑定公网IP或配置公网NAT网关。 检查集群安全组的出方向是否放通。如需对出方向做访问控制,请联系技术支持获取目的地址和端口号。 解决网络问题后,删掉已有的proxy-agent Pod使其重新生成Pod
服务网关概述 服务网关是网格的流量入口。网格外部的客户端通过服务网关访问网格内的服务。 服务网关描述了外部访问端口、协议和证书等配置。同时,通过在服务网关上配置路由规则可以对网关入口流量进行管理,对于不同的访问协议可以配置不同的路由。 图1 服务网关 目前默认是基于Kubernetes
服务授权 服务授权用来实现对网格中服务的访问控制功能,即判断一个请求是否允许发送到当前的服务。服务授权通过负载选择器Selector选择目标负载。认证的规则通过JWTRule来描述,定义如何匹配JWT令牌上的认证信息。 创建服务授权 支持YAML创建服务授权。 登录UCS控制台,在左侧导航栏中单击“服务网格”。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
