检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
API提供资源指标。 自定义指标 安装kube-prometheus-stack。 安装插件前,请检查您的华为云集群版本,若为v1.19以下,请先升级集群版本。 安装插件时,必须选择Server模式,该模式支持自定义指标。 安装插件后,需要将自定义指标聚合至Kubernetes API
VPCEP 终端节点位于同一VPC中,二者之间网络是否连通。 如果出现“You must be logged in to the server (Unauthorized)”问题,请按以下步骤检查: 校验证书是否有误: 将证书保存至临时文件中。 cd ~/.kube cat config
配置服务扩展点 在服务扩展点中配置IAM信息,相关信息填写指导见表1。 图6 新建服务扩展点 表1 配置IAM信息参数说明 参数 说明 连接名称 扩展点连接名称。可自定义,本示例中为IAM01。 Access Key Id 访问密钥ID,获取方法请参见获取访问密钥AK/SK。 Secret
为防止资源滥用,平台限定了各服务资源的配额,对用户的资源数量和容量做了限制。UCS具有集群、舰队、权限、集群联邦,以及容器智能分析实例配额限制。 集群配额:UCS支持接入的集群数量上限,华为云集群和附着集群的数量均占用该配额值。 舰队配额:用户拥有的舰队数量上限。 权限配额:用户可以在“权限管理”页面创建的权限数量上限。
舰队的集群自动添加到联邦中。添加过程中,舰队会对集群的网络状态、集群版本、clusterrole、clusterrolebinding等项目做校验。如果添加过程中校验存在问题,集群加入联邦会失败。参考本章节内容修复问题后,可以单击“重新接入”尝试再次接入集群联邦。 现象一:提示c
json”文件 “auth.json”为镜像仓库访问权限文件,其中每个对象为一个registry的用户名和密码。通常源镜像仓库需要具有pull以及访问tags权限,目标镜像仓库需要拥有push以及创建仓库权限。如果是匿名访问镜像仓库,则不需要填写用户名、密码等信息。“auth.json”文件的结构如下:
当选择发布用户为当前用户时,可以直接获取对应账号的UCS服务舰队信息。 当选择发布用户为其他用户时,可以通过配置项目与扩展点配置的IAM服务扩展点获取对应账号的UCS舰队信息。 图4 选择发布用户为当前用户 图5 选择发布用户为其他用户 表1 新建环境参数说明 参数 说明 环境名称 发布管理下环境唯一标识,创建后不可修改。
签,您仍然可以将集群重新添加至舰队中。具体操作请参见管理未加入舰队的集群。 注销舰队中的集群 登录UCS控制台,在左侧导航栏中单击“容器舰队”。 在“容器舰队”页签下单击舰队名称,进入舰队详情页。 在左侧导航栏中选择“容器集群”,在目标集群栏中,单击右上角的按钮。 弹出“注销集群
执行流水线 单击流水线阶段中的“发布”,并单击“任务结果”查看发布单。 图2 查看发布单 发布单展示本次发布的基本信息,包括:工单名称、工单号、发布任务阶段展示。 工单详情页面展示发布过程的详细信息,可以查看当前容器舰队下对应的各集群指定工作负载的运行情况,并且用户可以进行重试、取消等操作。
应的resourceBinding,可以在其conditions中得到如下报错:cluster(s) did not have the API resource。 解决方案 您可以在分发HPA前,将成员集群版本升级至v1.23及以上的版本,该版本默认支持autoscaling/v2的HPA。
使用MCI,用户可自定义转发规则,完成对访问流量的细粒度划分。图1展示了流量如何从MCI流向集群:从域名 foo.example.com 流入的流量流向了两个集群中带有标签 app:foo 的 Pod,从域名goo.example.com 流入的流量流向了两个集群中具有标签 app:goo的
策略类型:安全 推荐级别:L3 生效资源类型:Pod 参数:无 作用 限制PodSecurityPolicy中的“hostPID”和“hostIPC”字段。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints.gatekeeper.sh/v1beta1
服务版本 服务版本是同一个服务不同特征的后端实例集合,通过服务路由定义的规则可以将不同流量分发到这种一定特征的后端实例上。ASM服务版本通过流量策略来定义不同版本标签的服务分组。 查看服务版本 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在
生效资源类型:Pod 参数: exemptImages:字符串数组 作用 禁止PodSecurityPolicy中的“privileged”字段为true。 策略实例示例 以下策略实例展示了策略定义生效的资源类型。 apiVersion: constraints.gatekeeper.sh/v1beta1
ASM服务通过端到端的PEP(Policy Enforcement Points)隧道实现服务实例之间的通信,对端认证定义了流量如何通过隧道(或者不通过隧道)传输到当前服务的实例。已经注入sidecar的服务实例之间,默认通过隧道进行通信,流量会自动进行TLS加密。对等身份认证可以控制对目标工作负载上双向认证的模式。
- flexVolume #required for allowedFlexVolumes 符合策略实例的资源定义 示例中volumes中的类型均在上述定义的允许范围内,符合策略实例。 apiVersion: v1 kind: Pod metadata: name: nginx
击右上角按钮重新接入集群。如果已经接入但状态未更新,请等待2分钟后刷新集群。 上传配置文件 登录UCS控制台,单击待接入集群栏的“点击接入”进入集群接入界面,可选择“公网接入”和“私网接入”。 选择接入方式并下载代理配置文件。 若选择“公网接入”,直接在界面单击“下载文件”,下载
基于HTTP Header 计算哈希,可选完全匹配/前缀匹配/正则匹配 输入键值对 用户代理 根据所需操作系统,选择用户代理 端口 表示请求的服务端口,下拉列表中选择一个可用的端口号 参数 表示匹配URL中的请求参数,可选完全匹配/前缀匹配/正则匹配 输入键值对 源负载标签 map类型的键值对,表示请求来源的负载匹配标签
支持YAML创建请求认证。 登录UCS控制台,在左侧导航栏中单击“服务网格”。 单击服务网格名称,进入详情页。 在左侧导航栏,单击“服务安全”下的“请求认证”,进入请求认证详情页。 单击右上角“YAML创建”,弹出请求认证YAML创建界面。 为命名空间下的服务访问,校验请求中的认证信息。 apiVersion:
通过右侧“帮助链接”下的“Provider”和“Maintainers”获取提供商的联系方式进行咨询(部分服务可能没有该信息)。 单击“订阅”按钮确认订阅。订阅成功后,您可直接单击“创建实例”进行部署,也可在“我的订阅”中查询此服务再创建实例,具体操作步骤请参见实例创建。 已订阅服务查询
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
