检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
序号 功能名称 功能描述 阶段 相关文档 1 华为云UCS正式商用 商用版在公测版基础上,对各项功能进行了增强,例如: 权限管理:支持IAM系统策略,并配合UCS RBAC权限,实现更加精细的权限管理。 容器舰队:支持华为云集群、附着集群统一注册、统一管理;一键开通集群联邦。 容器
和资源利用率。 流量统一治理 适配车联网、互联网创新的业务场景,实现根据业务特点灵活接入,降低用户使用时延。 统一管理平台 提供统一全网分布式应用的运维、运营入口,提升运营运维效率。 建议方案 图1 汽车行业场景方案 父主题: 应用场景
yaml文件,单击,将“type: ClusterIP”修改为“type: NodePort”,单击保存。 登录华为云控制台,在左侧导航栏选择“分布式云原生”,选择“配置管理”,进入被修改的配置集合所在集群,单击配置集合名,查看“配置集合信息”页面,当“仓库源同步状态”为“运行中”后,表
配置管理 应用场景 在分布式集群场景下,为了方便用户对集群进行应用部署,实现自动化应用下发功能。UCS配置管理提供从仓库资源到Kubernetes集群自动部署应用配置的核心能力,通过采用Kustomize组织和定制资源集的方式配置仓库,提供对华为云集群、本地集群和附着集群进行跨命
网格服务 应用服务网格支持对运行在Kubernetes集群上的无状态负载(Deployment)进行流量治理和流量全方位监控,将服务加入网格后,可以实现服务的灰度发布、限流、熔断、会话保持等流量治理能力以及一站式、图形化拓扑的流量健康与性能、调用链监控。本节介绍如何为网格添加服务和删除服务。
假设A公司在华为云使用UCS服务管理多集群,公司中有多个职能团队,分别负责权限分配、资源管理、创建应用、流量分发、监控运维等。结合使用统一身份认证服务(IAM)与Kubernetes的角色访问控制(RBAC)的权限管理,可以实现精细化授权的目标。 图1 组织结构示意图 行管团队:负责管理公司所有资源的团队。
系统插件 服务运维系统插件由云原生服务中心提供,当部署的服务声明了诸如日志、监控运维能力配置时,集群中如果没有对应的运维能力插件,将会自动安装,您可通过“服务插件”页面查看各个集群中部署的运维能力插件。 背景知识 服务运维系统插件分别用于提供服务日志和监控能力。 ops-oper
或用户进行细粒度授权。具体解释如下: 集群权限:是基于IAM系统策略的授权,通过集群权限设置可以让某些用户组操作集群(如注册集群、注销集群、集群插件管理) ,并且让某些用户组仅能查看集群。 容器舰队权限:是基于IAM系统策略的授权,通过容器舰队权限设置可以让某些用户组操作容器舰队
Boolean 是否注册到ucs 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 响应参数 状态码:200 表3 响应Body参数 参数 参数类型 描述 [数组元素] Array of Cluster objects
以不停地向Server发送请求且不用等待任何响应,而Server则会陷入不停地接收请求-处理请求-直接结束请求的循环中,这个过程会消耗部分系统资源。 从而,恶意攻击者就可以利用该漏洞,通过持续的HEADERS、RST_STREAM帧组合,消耗 Server 资源,进而影响 Server
RBAC更注重角色和任务的匹配。 集群内deployment、service等资源对象 方案介绍 要想实现上述的权限隔离,必须结合使用IAM系统策略和UCS权限管理功能,IAM系统策略控制用户可操作哪些UCS控制台的功能,UCS权限管理控制用户可操作哪些舰队和集群资源。 如图2 授权方案所示,授权包括如下两大步骤。
成功标志成功。工作队列型任务根据应用确认的全局成功而标志成功。 定时任务(CronJob)即定时任务,是基于时间的Job,类似于Linux系统的crontab,在指定的时间周期运行指定的Job,即: 在给定时间点只运行一次。 在给定时间点周期性地运行。 CronJob的典型用法如下所示:
lts:*:* 图1 修改身份提供商信息 单击“确定”,然后修改身份提供商信息,需要修改的信息如表2所示。随后创建身份转换规则,单击“创建规则”进行创建。 图2 修改身份提供商信息 表2 身份提供商配置参数说明 参数 说明 访问方式 选择“编程访问”。 配置信息 身份供应商 URL:https://kubernetes
String 集群ID 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 响应参数 状态码:200 表3 响应Body参数 参数 参数类型 描述 kind String API类型,固定值“Cluster”,该值不可修改。
UCS控制面负责管理ucs01与ucs02集群,集群加入容器舰队,详情可参见管理容器舰队。 CCE集群: 2个CCE turbo集群,集群控制面节点3AZ部署,创建集群详情可参见购买Standard/Turbo集群; 集群计算节点分别创建AZ1、AZ2节点池,创建节点池详情可参见创建节点池。 集群内分别安装集群弹性引擎(CCE
] } 配置身份提供商 登录IAM控制台,创建身份提供商,协议选择OpenID Connect。 图2 创建身份提供商 单击“确定”,然后修改身份提供商信息,需要修改的信息如表1 身份提供商配置参数说明。若需要创建身份转换规则,单击“创建规则”进行创建。 图3 修改身份提供商信息 图4
集群ID。多个ID以英文逗号分隔。 请求参数 表2 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 响应参数 状态码:200 表3 响应Body参数 参数 参数类型 描述 items Array of Cluster objects
本地集群KubeConfig文件 获取本地集群KubeConfig文件 KubeConfig是Kubernetes集群中组织有关集群、用户、命名空间和身份认证机制信息的配置文件,Kubectl使用KubeConfig来获取集群的信息并与API server进行通信。 获取本地集群的KubeC
18版本特性 支持Istio 1.18.7版本 支持v1.25、v1.26、v1.27、v1.28、v1.29、v1.30、v1.31 CCE Turbo集群版本 支持v1.25、v1.26、v1.27、v1.28、v1.29、v1.30、v1.31 CCE集群版本 支持 Kubernetes
UCS服务支持跨云、跨地域的集群统一接入、统一管理,支持接入如下几种集群类型: 华为云集群:包括华为云CCE Standard集群和CCE Turbo集群。 本地集群:由UCS提供的、运行在您的数据中心基础设施之上的Kubernetes集群,如UCS on Bare Metal、UCS
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
