注册附着集群(私网接入)
位于本地数据中心和第三方云上的附着集群通过公网接入UCS存在一定的安全风险,用户需要稳定安全的集群接入方式,此时可以使用私网接入的方式将集群纳入UCS进行管理。
私网连接方式是通过云专线(DC)或虚拟专用网络(VPN)服务将云下网络与云上虚拟私有云(VPC)连通,并利用VPC终端节点通过内网与UCS服务建立连接,具有高速、低时延、安全的优势。
约束与限制
前提条件
- 已创建一个准备接入UCS的集群,并且集群状态正常。
- 在UCS提供服务的区域中创建一个VPC,具体操作请参见创建虚拟私有云和子网。
该VPC子网网段不能与IDC或第三方云中已使用的网络网段重叠,否则将无法接入集群。例如,IDC中已使用的VPC子网为192.168.1.0/24,那么华为云VPC中不能使用192.168.1.0/24这个子网。
- 已获取待添加集群的KubeConfig文件,具体操作步骤因厂商而异,请参见KubeConfig。关于KubeConfig文件的更多说明请参考使用kubeconfig文件组织集群访问。
步骤一:准备网络环境
云下、云上网络打通后,建议从本地数据中心服务器ping目标VPC下的华为云服务器私网IP,以验证网络是否成功连接。
将线下自有IDC或第三方云厂商的网络环境与华为云VPC打通。
- 虚拟专用网络(VPN)方案:请参见通过VPN连接云下数据中心与云上VPC。
- 云专线(DC)方案:请参见用户通过单专线静态路由访问VPC或用户通过单专线BGP协议访问VPC。
步骤二:注册集群
- 登录UCS控制台。
- 在左侧导航栏中选择“容器舰队”,单击附着集群选项卡中的“注册集群”按钮。
- 参考表1填写待添加集群的基础信息,其中带“*”的参数为必填参数。
表1 注册集群基础信息配置 参数
参数说明
集群名称*
输入集群的自定义名称,需以小写字母开头,由小写字母、数字、中划线(-)组成,且不能以中划线(-)结尾。
集群服务商*
选择一个集群服务商。
所属区域*
选择集群所在的区域。
集群标签
非必填项,以键值对的形式为集群添加标签,可以通过标签实现集群的分类。键值对可自定义,以字母或者数字开头和结尾,由字母、数字、连接符(-)、下划线(_)、点号(.)组成,且63个字符之内。
上传KubeConfig*
上传kubectl的配置文件来完成集群认证,支持JSON或YAML格式。获取KubeConfig文件的操作步骤因厂商而异,请参见KubeConfig。
选择Context*
选择对应的Context。在完成KubeConfig文件上传后,选项列表将自动获取文件中的“contexts”字段。
默认值为KubeConfig文件中“current-context”字段指定的Context,若文件中无此字段则需要从列表中手动选择。
容器舰队
选择集群所属的舰队。
舰队用于权限精细化管理,一个集群只能加入一个舰队。若不选择舰队,集群注册成功后将显示在“未加入舰队的集群”页签下,后续还可以再添加至舰队中。
不支持在注册集群阶段选择已开通集群联邦能力的舰队,如果一定要加入这个舰队,请在集群注册成功后,再添加到该舰队中。关于集群联邦的介绍,请参见开通集群联邦章节。
如需新建舰队,请参见管理容器舰队。
- 单击“确定”,集群注册成功后如图2所示,请在30分钟内接入网络。您可选择集群的接入方式或单击右上角按钮查看详细的网络接入流程。
如您未在30分钟内接入网络,将会导致集群注册失败,可单击右上角按钮重新注册集群。如果已经接入但数据未采集上来,请等待2分钟后刷新集群。
步骤三:购买终端节点
- 登录UCS控制台,单击待接入集群栏的“单击接入”进入集群接入界面,单击“私网接入”。
- 查看“创建终端节点”中的服务名称,单击,记录服务名称。
图3 创建终端节点
- 登录VPC终端节点控制台,单击“创建终端节点”,创建连接不同服务的终端节点。
- 选择终端节点的区域。
- 选择“按名称查找服务”,输入所记录的服务名称,并单击“验证”。
图4 购买终端节点
- 选择步骤一:准备网络环境中与集群网络连通的虚拟私有云以及对应的子网。
- 根据需求选择终端节点的“节点IP”为“自动分配”或“手动分配”。
- 配置完其他参数后,单击“立即购买”,并进行规格确认。
- 规格确认无误,单击“提交”,任务提交成功。
- 参数信息配置有误,需要修改,单击“上一步”,修改参数,然后单击“提交”。
步骤四:接入集群
- 登录UCS控制台,在“等待接入”状态下的目标集群栏中单击“私网接入”。
- 选择项目,再选择步骤三:购买终端节点中创建的终端节点。
图5 选择终端节点
- 将2中的agent配置文件上传至节点。
- 单击“安装集群代理agent配置”,在待接入集群中执行如下命令,可单击右侧直接复制命令。
图6 安装集群代理agent配置
- 私网接入的集群无法通过私网下载SWR镜像仓库中的镜像,请确保工作负载运行的节点可访问公网。
- 拉取proxy-agent容器镜像要求集群需要具备公网访问能力,或将proxy-agent镜像上传至集群可访问的镜像仓库,否则将导致proxy-agent部署失败。
- 前往UCS控制台刷新集群状态,集群处于“运行中”。