检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
和资源利用率。 流量统一治理 适配车联网、互联网创新的业务场景,实现根据业务特点灵活接入,降低用户使用时延。 统一管理平台 提供统一全网分布式应用的运维、运营入口,提升运营运维效率。 建议方案 图1 汽车行业场景方案 父主题: 应用场景
yaml文件,单击,将“type: ClusterIP”修改为“type: NodePort”,单击保存。 登录华为云控制台,在左侧导航栏选择“分布式云原生”,选择“配置管理”,进入被修改的配置集合所在集群,单击配置集合名,查看“配置集合信息”页面,当“仓库源同步状态”为“运行中”后,表
配置管理 应用场景 在分布式集群场景下,为了方便用户对集群进行应用部署,实现自动化应用下发功能。UCS配置管理提供从仓库资源到Kubernetes集群自动部署应用配置的核心能力,通过采用Kustomize组织和定制资源集的方式配置仓库,提供对华为云集群、多云集群、本地集群和附着集
网格服务 应用服务网格支持对运行在Kubernetes集群上的无状态负载(Deployment)进行流量治理和流量全方位监控,将服务加入网格后,可以实现服务的灰度发布、限流、熔断、会话保持等流量治理能力以及一站式、图形化拓扑的流量健康与性能、调用链监控。本节介绍如何为网格添加服务和删除服务。
假设A公司在华为云使用UCS服务管理多集群,公司中有多个职能团队,分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用统一身份认证服务(IAM)与Kubernetes的角色访问控制(RBAC)的权限管理,可以实现精细化授权的目标。 图1 组织结构示意图 行管团队:负责管理公司所有资源的团队。
与其他云服务的关系 02 入门 在UCS中注册集群后,您可以对跨云、跨地域的集群进行统一管理,开启您的分布式云原生使用之旅。 入门指引 入门指引 准备工作 添加集群 创建流量策略 分发应用实例 分布式集群协同治理 为容器舰队添加集群 04 实践 您可以通过UCS完成部署或迁移各种类型的网站和服务,满足您的业务所需。
系统插件 服务运维系统插件由云原生服务中心提供,当部署的服务声明了诸如日志、监控运维能力配置时,集群中如果没有对应的运维能力插件,将会自动安装,您可通过“服务插件”页面查看各个集群中部署的运维能力插件。 背景知识 服务运维系统插件分别用于提供服务日志和监控能力。 ops-oper
Boolean 是否注册到ucs 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 [数组元素] Array of Cluster objects
或用户进行细粒度授权。具体解释如下: 集群权限:是基于IAM系统策略的授权,通过集群权限设置可以让某些用户组操作集群(如注册集群、注销集群、集群插件管理) ,并且让某些用户组仅能查看集群。 容器舰队权限:是基于IAM系统策略的授权,通过容器舰队权限设置可以让某些用户组操作容器舰队
lts:*:* 图1 修改身份提供商信息 单击“确定”,然后修改身份提供商信息,需要修改的信息如表2所示。随后创建身份转换规则,单击“创建规则”进行创建。 图2 修改身份提供商信息 表2 身份提供商配置参数说明 参数 说明 访问方式 选择“编程访问”。 配置信息 身份供应商 URL:https://kubernetes
String 集群ID 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 最小长度:1 最大长度:16384 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 kind String
成功标志成功。工作队列型任务根据应用确认的全局成功而标志成功。 定时任务(CronJob)即定时任务,是基于时间的Job,类似于Linux系统的crontab,在指定的时间周期运行指定的Job,即: 在给定时间点只运行一次。 在给定时间点周期性地运行。 CronJob的典型用法如下所示:
项目组B在开发过程中需要舰队1、3的管理员权限以及舰队2的只读权限。 图1 权限设计 方案介绍 要想实现上述的权限隔离,必须结合使用IAM系统策略和UCS权限管理功能,IAM系统策略控制用户可操作哪些UCS控制台的功能,UCS权限管理控制用户可操作哪些舰队和集群资源。 如图2 授权方案所示,授权包括如下两大步骤。
以不停地向Server发送请求且不用等待任何响应,而Server则会陷入不停地接收请求-处理请求-直接结束请求的循环中,这个过程会消耗部分系统资源。 从而,恶意攻击者就可以利用该漏洞,通过持续的HEADERS、RST_STREAM帧组合,消耗 Server 资源,进而影响 Server
] } 配置身份提供商 登录IAM控制台,创建身份提供商,协议选择OpenID Connect。 图2 创建身份提供商 单击“确定”,然后修改身份提供商信息,需要修改的信息如表1 身份提供商配置参数说明。若需要创建身份转换规则,单击“创建规则”进行创建。 图3 修改身份提供商信息 图4
集群ID。多个ID以英文逗号分隔。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 最小长度:1 最大长度:16384 响应参数 状态码: 200 表3 响应Body参数 参数 参数类型 描述 items Array
UCS控制面负责管理ucs01与ucs02集群,集群加入容器舰队,详情可参见管理容器舰队。 CCE集群: 2个CCE turbo集群,集群控制面节点3AZ部署,创建集群详情可参见购买Standard/Turbo集群; 集群计算节点分别创建AZ1、AZ2节点池,创建节点池详情可参见创建节点池。 集群内分别安装集群弹性引擎(CCE
本地集群KubeConfig文件 获取本地集群KubeConfig文件 KubeConfig是Kubernetes集群中组织有关集群、用户、命名空间和身份认证机制信息的配置文件,Kubectl使用KubeConfig来获取集群的信息并与API server进行通信。 获取本地集群的KubeC
个Token鉴权时,可以先缓存起来,避免频繁调用。 Token在计算机系统中代表令牌(临时)的意思,拥有Token就代表拥有某种权限。Token认证就是在调用API的时候将Token加到请求消息头,从而通过身份认证,获得操作API的权限。 Token可通过调用获取用户Token接
通过隧道(或者不通过隧道)传输到当前服务的实例。已经注入sidecar的服务实例之间,默认通过隧道进行通信,流量会自动进行TLS加密。对等身份认证可以控制对目标工作负载上双向认证的模式。 创建对端认证 支持YAML创建对端认证。 登录UCS控制台,进入网格。 在左侧导航栏,单击“
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
