华为云UCS配置全指南
一、UCS集群管理
1. 集群类型支持
UCS支持跨云、跨地域的集群统一管理,涵盖以下类型:
华为云集群:包括CCE Standard集群和CCE Turbo集群,支持一键注册至UCS控制台。
本地集群:运行在用户数据中心基础设施上的Kubernetes集群(如UCS on Bare Metal、UCS on VMware),需通过UCS完成安装与接入流程。
附着集群:满足CNCF标准的第三方Kubernetes集群(如AWS EKS、GCP GKE及自建集群),支持公网/私网接入。
2. 本地集群管理流程
基础软件规划:需符合操作系统、内核版本等要求(如Ubuntu 22.04、Red Hat 8.6、HCE OS 2.0等)。
网络配置:
公网接入:集群需具备公网访问能力,弹性灵活且成本低。
私网接入:通过云专线(DC)或VPN连通云下网络与华为云VPC,实现高速、低时延、安全的数据传输。
节点管理:支持节点添加、标签/污点设置,优化资源调度策略。
存储配置:对接VMware vSphere等存储服务,提供持久化存储能力。
3. 集群注册与验证
华为云集群:在UCS控制台选择“容器舰队”→“注册集群”,勾选目标CCE集群并选择舰队,完成注册。
本地集群:通过UCS提供的工具完成安装后,在控制台进行注册与验证。
二、权限管理
1. 权限体系架构
UCS权限管理基于IAM与Kubernetes RBAC能力,提供细粒度控制,支持以下两种权限类型:
UCS服务资源权限:基于IAM系统策略,管理集群、舰队等非Kubernetes原生资源。
集群中Kubernetes资源权限:基于Kubernetes RBAC,控制工作负载、任务、服务等原生资源的操作权限。
2. 权限配置流程
用户组创建:在IAM控制台创建用户组,并关联预置策略(如UCSFullAccess、UCSCommonOperations)。
用户授权:将用户加入已授权的用户组,继承组权限。
舰队权限关联:在UCS控制台“权限管理”页面,将权限与特定舰队或集群绑定。
3. 最小权限原则
功能依赖其他云服务时(如镜像仓库、域名解析),需额外授权相关云服务权限(如VDCReadOnlyAccess)。
示例:为行管团队授予UCSFullAccess时,需同步授予VDCReadOnlyAccess以获取IAM用户列表。
三、容器配置
1. 容器规格设置
CPU配额:
申请值:容器最小CPU需求,调度时判断节点资源是否充足。
限制值:容器最大CPU使用量,防止资源独占。
内存配额:
申请值:容器最小内存需求,调度依据。
限制值:容器最大内存使用量,超限可能导致实例重启。
2. 资源分配计算
可分配CPU = CPU总量 - 所有实例CPU请求值 - 其他资源预留值。
可分配内存 = 内存总量 - 所有实例内存请求值 - 其他资源预留值。
3. 高级配置
生命周期管理:定义容器启动、运行、终止时的钩子函数。
健康检查:配置存活/就绪探针,确保容器状态可观测。
环境变量:通过配置项或密钥注入环境变量,实现动态配置。
四、监控与运维
1. 监控开启流程
华为云集群:
在UCS控制台选择“容器智能分析”。
选择目标集群,点击“开启监控”。
配置部署模式(Agent模式/Server模式)、插件规格、AOM实例等参数。
本地集群:
确保网络连通性(公网/私网接入)。
在UCS控制台完成相同监控配置步骤。
2. 部署模式选择
Agent模式:资源占用低,支持基础指标采集,但不支持自定义HPA及健康诊断。
Server模式:支持完整监控功能,依赖PVC存储,内存消耗较大。
3. 数据存储配置
Server模式需指定PVC存储类型(如云硬盘高IO、超高IO)及容量,用于临时存储监控数据。
五、最佳实践
1. 权限隔离设计
按职能划分用户组:例如为开发团队创建dev用户组,授予UCSCommonOperations权限,并添加开发人员用户。
舰队权限精细化:通过舰队实现多集群分类管理,关联不同权限策略,满足部门/项目隔离需求。
2. 资源优化建议
混合部署:利用HCE OS的GPU虚拟化能力,将GPU密集型在线业务与离线业务混合部署,提升资源利用率。
标签管理:为超大容量节点添加type:virtual-kubelet标签,避免统计偏差。
3. 监控策略优化
采集周期调整:根据业务需求调整指标采集周期(默认15秒),平衡实时性与存储成本。
自定义指标告警:通过AOM服务配置自定义指标告警规则,实现异常快速响应。
