关联权限 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 在目标舰队栏中，单击右上角的按钮。 图4 为舰队关联权限 在弹出的页面单击“修改容器舰队权限”或“关联权限”，打开修改权限页面，将已创建好的权限和舰队的命名空间关联起来。 图5 修改权限 命名空间：支持“全部命名空间”和“指定命名空间”。全部命名空间包括当前舰队已有的命名空间和舰队后续新增的命名空间；“指定命名空间”即表示您自己选择命名空间的范围，UCS服务提供了几个常见的命名空间供您选择（如default、kube-system、kube-public），您也可以新增命名空间，但要自行确保新增的命名空间在集群中存在。 请注意，选择的命名空间仅对权限中命名空间级资源生效，不影响权限中的集群资源。关于命名空间级和集群级资源的介绍，请参见Kubernetes资源对象章节。 关联权限：从下拉列表中选择权限，支持一次性选择多个权限，以达到批量授权的目的。 如果针对不同命名空间，关联的权限不同（例如：为default命名空间关联readonly权限，为development命名空间关联develop权限），可以单击按钮添加多组授权关系。 单击“确定”，完成权限的关联。 如果后续需要修改舰队的权限，采用同样的方法，重新选择命名空间和权限即可。

创建舰队 登录UCS控制台，在左侧导航栏中选择“容器舰队”，在“容器舰队”页签下单击“创建容器舰队”。 填写舰队信息。 图1 创建容器舰队 舰队名称：自定义舰队的名称，需以小写字母开头，由小写字母、数字、中划线（-）组成，且不能以中划线（-）结尾。 添加集群：列表中显示当前未加入舰队的集群，可以在创建舰队时添加集群，也可以在舰队创建完成后添加。如不选择任何集群，则会创建一个空的舰队，完成创建后请参考添加集群。 描述：添加舰队的描述信息。 集群加入容器舰队后，将获得所选容器舰队的权限，失去原有权限。 单击“确定”，创建舰队。

添加集群 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 在目标舰队栏中单击“添加集群”，或单击右上角的按钮。 您也可以单击舰队名称进入舰队详情页，在“容器集群”页面单击右上角“添加集群”。 图2 为舰队添加集群 勾选一个或多个已有集群。一个集群只能加入一个舰队，因此列表中显示的集群均为未加入舰队的集群。 图3 添加集群 集群加入容器舰队，将拥有所选容器舰队的权限，但会失去原有赋予的权限。 如果该舰队开通了集群联邦，集群会自动接入集群联邦。关于集群联邦的介绍，请参见开通集群联邦章节。 单击“确定”，完成集群添加。

注销舰队中的集群 登录UCS控制台，在左侧导航栏中单击“容器舰队”。 在“容器舰队”页签下单击舰队名称，进入舰队详情页。 在左侧导航栏中选择“容器集群”，在目标集群栏中，单击右上角的按钮。 弹出“注销集群”对话框，仔细阅读注意事项，确认风险后单击“确定”。 （可选）对于附着集群来说，注销集群成功后，还需前往目标集群卸载代理组件。 kubectl -n kube-system delete deployments/proxy-agent secret/proxy-agent-cert （可选）对于本地集群来说，注销集群成功后，您可以手动执行卸载命令，在本地主机环境中删除集群，清理资源： ./ucs-ctl delete cluster [集群名称] 如果命令执行失败，请参考如何手动清理本地集群节点？处理。

容器舰队支持的能力范围 集群接入UCS后，您可以将其加入容器舰队并开通集群联邦能力，以进行多集群管理。针对已接入UCS的集群（无论是否加入容器舰队）、未开通集群联邦能力的容器舰队、已开通集群联邦能力的容器舰队，UCS所支持的能力范围有所不同，如表1所示。 表1 容器舰队支持的能力范围 能力 已接入UCS的集群 未开通集群联邦能力的容器舰队 已开通集群联邦能力的容器舰队 集群联邦多集群管理 - - √ 流量分发 √ - - 可观测性 √ √ √ 服务网格 - √ √ 云原生服务中心 √ - - 策略中心 √ √ √ 配置管理 √ - - 流水线 - - √ 权限管理 √ √ √

现象一：提示clusterrole、clusterrolebinding已存在 问题原因：一个集群不能同时加入两个或两个以上的联邦。有这个报错提示，说明当前集群已经添加到联邦中，或者曾经加入过联邦但是存在资源残留。 解决方案：手工清理残留资源。 操作步骤： 获取报错集群的kubeconfig配置文件，并准备kubectl及运行节点，将kubeconfig文件放在运行节点/tmp目录。 执行如下命令，清理残留资源。 alias kubectl='kubectl --kubeconfig=/tmp/kubeconfig' kubectl delete clusterrolebinding `kubectl get clusterrolebinding |grep karmada-controller-manager | awk '{print $1}'` kubectl delete clusterrole `kubectl get clusterrole |grep karmada-controller-manager | awk '{print $1}'` kubectl delete namespace `kubectl get namespace |egrep 'karmada-[0-9a-f]{8}-([0-9a-f]{4}-){3}[0-9a-f]{12}' |awk '{print $1}'`

现象三：CCE集群已绑定EIP，集群加入联邦仍失败，报错：network in cluster is stable, please retry it later 问题原因：联邦需要访问CCE集群的5443端口，但是CCE集群的控制面安全组入方向规则不允许124.70.21.61（源地址）访问CCE集群的5443端口。 解决方案：修改CCE控制面入方向安全组，允许124.70.21.61（源地址）访问CCE集群的5443端口。

可能原因 当前，UCS集群联邦API Server版本为v1.25，因此HPA对象有autoscaling/v2和autoscaling/v1两个版本。然而，不论您创建的HPA版本为autoscaling/v2还是autoscaling/v1，联邦均会以autoscaling/v2版本进行分发。版本低于v1.23的集群不支持autoscaling/v2版本的HPA对象，因此HPA无法分发到该集群。查看HPA对应的resourceBinding，可以在其conditions中得到如下报错：cluster(s) did not have the API resource。

解决方案 您可以在分发HPA前，将成员集群版本升级至v1.23及以上的版本，该版本默认支持autoscaling/v2的HPA。 若您仍想分发autoscaling/v1版本的HPA到成员集群，您的PropagationPolicy对象中的resourceSelectors[i].apiVersion字段应配置为autoscaling/v2，如示例YAML所示。分发成功后，您可以在成员集群中查询到autoscaling/v1版本的HPA。 apiVersion: autoscaling/v1 kind: HorizontalPodAutoscaler metadata: name: test-hpa spec: maxReplicas: 5 minReplicas: 1 scaleTargetRef: apiVersion: apps/v1 kind: Deployment name: nginx targetCPUUtilizationPercentage: 10 --- apiVersion: policy.karmada.io/v1alpha1 kind: PropagationPolicy metadata: name: test-hpa-pp spec: placement: clusterAffinity: clusterNames: - member1 resourceSelectors: - apiVersion: autoscaling/v2 kind: HorizontalPodAutoscaler name: test-hpa namespace: default

请求示例 创建舰队，同时（可选）将集群加入该舰队 https://ucs.myhuaweicloud.com/v1/clustergroups { "metadata" : { "name" : "group02281605" }, "spec" : { "clusterIds" : [ "514c1a3c-8ec7-11ec-b384-0255ac100189", "d4804da3-8f03-11ec-b384-0255ac100189" ], "description" : "aaaaaaaaa" } }

请求参数 表1 请求Header参数 参数 是否必选 参数类型 描述 X-Auth-Token 是 String 身份认证信息 最小长度：1 最大长度：16384 表2 请求Body参数 参数 是否必选 参数类型 描述 metadata 是 RegisterClusterGroupObjectMeta object 容器舰队元数据信息。 spec 否 RegisterClusterGroupSpec object 属性 表3 RegisterClusterGroupObjectMeta 参数 是否必选 参数类型 描述 name 是 String 容器舰队名称 表4 RegisterClusterGroupSpec 参数 是否必选 参数类型 描述 clusterIds 否 Array of strings 关联的集群id description 否 String 容器舰队描述信息

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 kind String job 类型 apiVersion String job apiVersion spec JobSpec object job 属性 status JobStatus object job 状态 表4 JobSpec 参数 参数类型 描述 type String job类型 federationuid String 联邦uid resourceid String 资源id resourcename String 资源名字 extendparam String 扩展参数 subjobs Array of Job objects 子job 表5 Job 参数 参数类型 描述 kind String job 类型 apiVersion String job apiVersion spec JobSpec object job 属性 status JobStatus object job 状态 表6 JobStatus 参数 参数类型 描述 phase String job phase reason String job reason completiontime String job完成时间 starttime String job开始时间

响应示例 状态码： 200 返回开启联邦对应的job { "kind" : "Job", "apiVersion" : "v3", "metadata" : { "uid" : "70b5a14f-2fa4-11ee-bf07-0255ac1000b9", "creationTimestamp" : "2023-07-31 13:16:20.715779 +0000 UTC", "updateTimestamp" : "2023-07-31 13:17:24.497868 +0000 UTC", "annotations" : { "currentTimestamp" : "2023-07-31 13:17:24.933313136 +0000 UTC" } }, "spec" : { "type" : "CreateFederationContainer", "federationUID" : "70acf480-2fa4-11ee-ad1d-0255ac1001c4", "resourceID" : "70acf480-2fa4-11ee-ad1d-0255ac1001c4", "resourceName" : "70acf480-2fa4-11ee-ad1d-0255ac1001c4", "subJobs" : [ { "kind" : "Job", "apiVersion" : "v3", "metadata" : { "uid" : "70b66b9a-2fa4-11ee-bf07-0255ac1000b9", "creationTimestamp" : "2023-07-31 13:16:20.740512 +0000 UTC", "updateTimestamp" : "2023-07-31 13:16:22.100528 +0000 UTC", "annotations" : { "currentTimestamp" : "2023-07-31 13:17:24.934274579 +0000 UTC" } }, "spec" : { "type" : "InstallFederationChart", "federationUID" : "70acf480-2fa4-11ee-ad1d-0255ac1001c4" }, "status" : { "phase" : "Success", "completionTime" : "2023-07-31 13:16:22.100528 +0000 UTC", "startTime" : "2023-07-31 13:16:22.100528 +0000 UTC" } }, { "kind" : "Job", "apiVersion" : "v3", "metadata" : { "uid" : "70b66b68-2fa4-11ee-bf07-0255ac1000b9", "creationTimestamp" : "2023-07-31 13:16:20.736232 +0000 UTC", "updateTimestamp" : "2023-07-31 13:17:24.490359 +0000 UTC", "annotations" : { "currentTimestamp" : "2023-07-31 13:17:24.934277116 +0000 UTC" } }, "spec" : { "type" : "CreateNetworkResource", "federationUID" : "70acf480-2fa4-11ee-ad1d-0255ac1001c4", "extendParam" : { "JobExtendParamKeyElbID" : "69694819-67dc-44ac-ab6e-9b18087c5c4c" } }, "status" : { "phase" : "Success", "completionTime" : "2023-07-31 13:17:24.490359 +0000 UTC", "startTime" : "2023-07-31 13:16:20.744891 +0000 UTC" } }, { "kind" : "Job", "apiVersion" : "v3", "metadata" : { "uid" : "70b66afa-2fa4-11ee-bf07-0255ac1000b9", "creationTimestamp" : "2023-07-31 13:16:20.731295 +0000 UTC", "updateTimestamp" : "2023-07-31 13:16:22.100452 +0000 UTC", "annotations" : { "currentTimestamp" : "2023-07-31 13:17:24.934288685 +0000 UTC" } }, "spec" : { "type" : "CreateCert", "federationUID" : "70acf480-2fa4-11ee-ad1d-0255ac1001c4" }, "status" : { "phase" : "Success", "completionTime" : "2023-07-31 13:16:22.100452 +0000 UTC", "startTime" : "2023-07-31 13:16:22.100452 +0000 UTC" } }, { "kind" : "Job", "apiVersion" : "v3", "metadata" : { "uid" : "70b66ad0-2fa4-11ee-bf07-0255ac1000b9", "creationTimestamp" : "2023-07-31 13:16:20.726434 +0000 UTC", "updateTimestamp" : "2023-07-31 13:16:22.093902 +0000 UTC", "annotations" : { "currentTimestamp" : "2023-07-31 13:17:24.934291673 +0000 UTC" } }, "spec" : { "type" : "CreateNode", "federationUID" : "70acf480-2fa4-11ee-ad1d-0255ac1001c4" }, "status" : { "phase" : "Success", "completionTime" : "2023-07-31 13:16:22.093902 +0000 UTC", "startTime" : "2023-07-31 13:16:20.745187 +0000 UTC" } } ] }, "status" : { "phase" : "Success", "completionTime" : "2023-07-31 13:17:24.497868 +0000 UTC", "startTime" : "2023-07-31 13:16:20.721007 +0000 UTC" } }

请求示例 curl -v -k -XPOST -H "content-type: application/json" -H "X-Auth-Token:$token" https://xxx.com:443/v1/clusters/{clusterid}/join -d "{"clustergroupID":"49077339-f1cd-11ec-a2be-0255ac1001c2"}" https://ucs.myhuaweicloud.com/v1/clusters/1e18b9c4-5a8c-11ed-aa7f-0255ac1001c2/join集群加入容器舰队

步骤二：UCS管理员授权 使用UCS管理员登录UCS控制台，在左侧导航栏选择“权限管理”。 单击右上角的“创建权限”按钮。 在弹出页面中填写权限的参数项，如图7所示。 图7 创建权限 权限名称：自定义权限的名称，需以小写字母开头，由小写字母、数字、中划线（-）组成，且不能以中划线（-）结尾。 用户：选择权限关联的用户，即上一步创建的IAM用户。实际应用中，一个用户组会有多个用户，创建权限时，可以将这个用户组下的所有用户全部选中，以达到批量授权的目的。 权限类型：选择“管理员权限”。管理员权限表示对所有集群资源对象的读写权限。 单击“确定”，创建权限。 权限创建完成后，可前往“容器舰队”页面，单击目标舰队右上角按钮。 图8 为舰队关联权限 在弹出的页面单击“关联权限”，打开“修改权限”页面，将3中创建的权限和舰队的全部命名空间关联起来。 图9 关联权限 单击“确定”。完成后，使用该IAM用户登录UCS控制台可使用权限范围内的功能。 重复以上步骤，完成表2中其他权限的创建，以及权限和舰队的关联。