检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
exemptImages:字符串数组 作用 约束PodSecurityPolicy中的“allowPrivilegeEscalation”字段为false。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind:
本地集群管理流程 接入网络模式 UCS使用集群网络代理的连接方式,如图2 集群接入原理所示。您无需在防火墙上启用任何入方向端口,仅通过集群代理程序的方式即可在出方向与UCS服务建立会话。 本地集群接入网络的方法有两种,具有不同的优点: 公网接入:具有弹性灵活、成本低、易接入的优点。 私
type、user四个字符串对象 exemptImages:字符串数组 作用 约束Pod定义SELinux配置的允许列表。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中的allowedSELinuxOptions定义了参数的允许列表。 apiVersion:
“seccomp.security.alpha.kubernetes.io/allowedProfileNames”注解。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中allowedProfiles定义了允许的注解。 apiVersion: constraints
faultrole策略定义禁止该ClusterRole对Endpoints进行create、patch和update操作。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind:
allowedUsers:数组 作用 拒绝白名单外的资源更新ServiceAccount。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中定义了允许的组列表allowedGroups和允许的用户列表allowedUsers。 # IMPORTANT: Before deploying
第三方注册中心接入能力 ASM提供了服务网格对接Nacos注册中心功能,便于将Nacos上的微服务同步到网格中,实现流量治理等功能。 操作步骤 通过使用kubectl连接网格控制面获取kubeconofig的证书内容。 登录云容器引擎控制面,单击选择任意集群,进入详情页。 建议选
allowedRoles: - cluster-role-1 符合策略实例的资源定义 ClusterRole关联到cluster-role-1 Role中,符合策略实例。 apiVersion: rbac.authorization.k8s.io/v1 kind:
excludedNamespaces: ["kube-system"] 符合策略实例的资源定义 Pod的automountServiceAccountToken字段设为false,符合策略实例。 apiVersion: v1 kind: Pod metadata: name:
forbiddenSysctls:数组 作用 约束PodSecurityPolicy中的“sysctls”字段不能使用的name。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中的forbiddenSysctls定义了sysctls中不能允许的名称。 apiVersion:
限制PodSecurityPolicy中的“allowedCapabilities”和“requiredDropCapabilities”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中定义了allowedCapabilities和requiredDropCapabilities的列表。
约束PodSecurityPolicy中的runAsUser、runAsGroup、supplementalGroups和fsGroup字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型,parameters中定义了对runAsUser、runAsGroup、supplementalGroups和fsGroup等字段的约束。
服务网关 服务网关概述 网关实例 网关路由 网关证书 父主题: 服务网格
parameters: allowedIPs: - "203.0.113.0" 符合策略实例的资源定义 externalIPs中的IP为允许列表中的IP,符合策略实例。 apiVersion: v1 kind: Service metadata: name: allowed-external-ip
max: 整型 min: 整型 作用 控制PodSecurityPolicy中的“fsGroup”字段在限制范围内。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints.gatekeeper.sh/v1beta1 kind:
单击“确定”,集群注册成功后如图1所示,请在24小时内接入网络。您可选择集群的接入方式或单击右上角按钮查看详细的网络接入流程。 如您未在24小时内接入网络,将会导致集群注册失败,可单击右上角按钮重新注册集群。如果已经接入但数据未采集上来,请等待2分钟后刷新集群。 图1 集群等待接入状态 父主题: 本地集群
参见Cilium。 支持 附着集群 附着集群 需支持underlay网络 取决于附着集群网络类型 常见问题 若检测结果显示集群间节点或容器访问不通,请排查以下项目: 表3 排查项 排查方法 解决方案 确认集群版本是否在1.21及以上 进入集群详情页查看。 升级集群版本,具体操作请参见升级集群。
示,您可以通过UCS控制台可视化升级联邦版本。 图1 联邦升级流程 升级前检查 升级集群联邦前,UCS会对联邦运行状态、集群运行状态、集群接入状态三方面进行检查,尽可能避免升级失败。如有检查异常项,请按控制台提示排查并修复。 升级 执行集群联邦升级。 失败后回退 升级若失败,可以选择重新升级或回退至原有联邦版本。
查询支持接入UCS的集群版本列表 功能介绍 查询支持接入UCS的集群版本列表 URI GET /v1/config/registeredclusterversions 请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String
安装本地集群 安装前检查 安装前准备(私网接入) 安装及验证 父主题: 本地集群
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
