华为云用户手册

问题描述 etcd kubernetes容器无法拉起，执行journalctl -u containerd查看containerd日志，看到以下日志： applying cgroup configuration for process caused \\\"mountpoint for cgroup not found\\\"\"\n 使用stat -fc %T /sys/fs/cgroup/查看cgroup版本为cgroup2fs，该问题根因为当前kubernetes版本cgroup v2暂未商用，需要进行cgroup降级。

解决方案 管理员需要为用户授予U CS 控制台各功能的权限，通过 IAM 系统策略（包括UCS FullAccess、UCS CommonOperations、UCS CIAOperations和UCS ReadOnlyAccess）来界定用户的权限范围。 表1 UCS系统权限 系统角色/策略名称 描述 类别 UCS FullAccess UCS服务管理员权限，拥有该权限的用户拥有服务的所有权限（包含制定权限策略、安全策略等）。 系统策略 UCS CommonOperations UCS服务基本操作权限，拥有该权限的用户可以执行创建工作负载、流量分发等操作。 系统策略 UCS CIAOperations UCS服务容器智能分析管理员权限。 系统策略 UCS ReadOnlyAccess UCS服务只读权限（除容器智能分析只读权限）。 系统策略 另外，华为云各服务之间存在业务交互关系，UCS也依赖其他云服务实现一些功能（如镜像仓库、 域名 解析），因此，上述几种系统策略经常和其他云服务的角色或策略结合使用，以达到精细化授权的目的。管理员在为IAM用户授权时，应该遵循权限最小化的安全实践原则，表2列举了UCS各功能管理员、操作、只读权限所需要的最小权限。 授予用户IAM系统策略的详细操作请参见UCS服务资源权限；授予用户UCS RBAC权限的详细操作请参见集群中Kubernetes资源权限。 表2 UCS功能所需的最小权限 功能 权限类型 权限范围 最小权限 容器舰队 管理员权限 创建、删除舰队 注册华为云集群（CCE集群、 CCE Turbo 集群）、本地集群或附着集群 注销集群 将集群加入、移出舰队 为集群或舰队添加权限 开通集群联邦、联邦管理相关操作（如创建联邦工作负载、创建域名访问等） UCS FullAccess 只读权限 查询集群、舰队的列表或详情 UCS ReadOnlyAccess 华为云集群 管理员权限 对华为云集群及集群下所有Kubernetes资源对象（包含节点、工作负载、任务、服务等）的读写权限。 UCS FullAccess + CCE Administrator 操作权限 对华为云集群及集群下大多数Kubernetes资源对象的读写权限，对命名空间、资源配额等Kubernetes资源对象的只读权限。 UCS CommonOperations + CCE Administrator 只读权限 对华为云集群及集群下所有Kubernetes资源对象（包含节点、工作负载、任务、服务等）的只读权限。 UCS ReadOnlyAccess + CCE Administrator 本地/附着/多云/伙伴云集群 管理员权限 本地/附着/多云/伙伴云集群及集群下所有Kubernetes资源对象（包含节点、工作负载、任务、服务等）的读写权限。 UCS FullAccess 操作权限 本地/附着/多云/伙伴云集群及集群下大多数Kubernetes资源对象的读写权限，对命名空间、资源配额等Kubernetes资源对象的只读权限。 UCS CommonOperations + UCS RBAC权限（需要包含namespaces资源对象的list权限） 只读权限 本地/附着/多云/伙伴云集群及集群下所有Kubernetes资源对象（包含节点、工作负载、任务、服务等）的只读权限。 UCS ReadOnlyAccess + UCS RBAC权限（需要包含namespaces资源对象的list权限） 镜像仓库 管理员权限 容器镜像服务 的所有权限，包括创建组织、上传镜像、查看镜像列表或详情、下载镜像等操作。 SWR Administrator 权限管理 管理员权限 创建、删除权限 查看权限列表或详情 说明： 创建权限需要同时授予子用户IAM ReadOnlyAccess权限（IAM服务的只读权限），用于获取IAM用户列表。 UCS FullAccess + IAM ReadOnlyAccess 只读权限 查看权限列表或详情 UCS ReadOnlyAccess + IAM ReadOnlyAccess 策略中心 管理员权限 启用策略中心 创建、停用策略实例 查看策略列表 查看策略实施详情 UCS FullAccess 只读权限 对于已启用策略中心的舰队和集群，拥有该权限的用户可以查看策略列表和查看策略实施详情。 UCS CommonOperations 或 UCS ReadOnlyAccess 服务网格 管理员权限 应用服务网格的所有权限，包括创建网格、添加集群、sidecar注入、查看网格列表或详情、卸载网格等。 UCS FullAccess + CCE Administrator 流量分发 管理员权限 创建流量策略、暂停调度策略、删除调度策略等操作。 （推荐）UCS CommonOperations + DNS Administrator 或 UCS FullAccess + DNS Administrator 只读权限 查看流量策略列表或详情 UCS ReadOnlyAccess + DNS Administrator 容器智能分析 管理员权限 接入、取消接入集群 查看基础设施、应用负载等多维度监控数据 UCS CIAOperations 云原生服务中心 管理员权限 云原生服务中心的所有权限，包括订阅服务、查看服务列表或详情、创建服务实例、查看实例列表或详情、删除服务实例、退订服务等操作。 UCS FullAccess 只读权限 云原生服务中心的只读权限，包括查看服务列表或详情、查看实例列表或详情等操作。 UCS ReadOnlyAccess

现象四：显示已接入集群联邦，状态异常，报错：cluster is not reachable 请在对应的成员集群中执行以下命令，查询ServiceAccount是否存在。其中{cluster_name}请替换为集群名称。 kubectl get sa -A|grep karmada-{cluster_name}.clusterspace.{cluster_name} 若回显显示ServiceAccount不存在，请先将该成员集群移出舰队，再重新添加该集群至对应舰队。

现象一：提示clusterrole、clusterrolebinding已存在 问题原因：一个集群不能同时加入两个或两个以上的联邦。有这个报错提示，说明当前集群已经添加到联邦中，或者曾经加入过联邦但是存在资源残留。 解决方案：手工清理残留资源。 操作步骤： 获取报错集群的kubeconfig配置文件，并准备kubectl及运行节点，将kubeconfig文件放在运行节点/tmp目录。 执行如下命令，清理残留资源。 alias kubectl='kubectl --kubeconfig=/tmp/kubeconfig' kubectl delete clusterrolebinding `kubectl get clusterrolebinding |grep karmada-controller-manager | awk '{print $1}'` kubectl delete clusterrole `kubectl get clusterrole |grep karmada-controller-manager | awk '{print $1}'` kubectl delete namespace `kubectl get namespace |egrep 'karmada-[0-9a-f]{8}-([0-9a-f]{4}-){3}[0-9a-f]{12}' |awk '{print $1}'`

现象三：CCE集群已绑定EIP，集群加入联邦仍失败，报错：network in cluster is unstable, please retry it later 问题原因：联邦需要访问CCE集群的5443端口，但是CCE集群的控制面安全组入方向规则不允许120.46.145.12（源地址）访问CCE集群的5443端口。 解决方案：修改CCE控制面入方向安全组，允许120.46.145.12（源地址）访问CCE集群的5443端口。

处理手段 可执行如下操作进行资源残留清理，并在清理后重新开启监控。 kubectl delete ns monitoring kubectl delete ClusterRole cluster-problem-detector custom-metrics-resource-aggregated-reader event-exporter prometheus-operator prometheus-server ucsaddon-cie-collector-kube-state-metrics kubectl delete ClusterRoleBinding ucsaddon-cie-collector-kube-state-metrics cluster-problem-detector event-exporter prometheus-operator prometheus-server kubectl delete apiservice v1beta1.custom.metrics.k8s.io

步骤三：创建并授权应用 组织创建者或组织管理员在OrgID管理中心页面，选择左侧导航栏的“应用管理”。 单击“添加自建应用”。 输入应用名称，如“App-test”，上传应用图标、选择应用类型并设置应用负责人，如图2所示，单击“确认”。 图2 自建App 进入“认证集成”页签，根据实际情况选择认证集成方式：OAuth2、OIDC、SAML、CAS3，选择后不支持修改，此处选择“OAuth2”，单击“确认”。 图3 开启认证集成方式 配置首页URL、Access Token有效期、Refresh Token有效期等参数，单击“保存”。 图4 参数配置 进入“授权管理”页签。单击“授权设置”，在“授权提醒”页面确认授权信息。 在“授权设置”页面选择可用成员范围，此处选择“全员可用”，组织下所有成员即可在用户中心看到并使用该应用。 图5 授权设置

步骤二：创建并授权应用 管理员在OrgID管理中心页面，选择左侧导航栏的“应用管理”。 单击“添加自建应用”。 输入应用名称，如“App-test”，上传应用图标、选择应用类型并设置应用负责人，如图1所示，单击“确认”。 图1 自建App 进入“认证集成”页签，根据实际情况选择认证集成方式：OAuth2、OIDC、SAML、CAS3，选择后不支持修改，此处选择“OAuth2”，单击“确认”。 图2 开启认证集成方式 配置首页URL、Access Token有效期、Refresh Token有效期等参数，单击“保存”。 图3 参数配置 进入“授权管理”页签。单击“授权设置”，在“授权设置”界面中选择被授权成员信息，单击“下一步”。 选择可用成员范围，此处选择“全员可用”，组织下所有成员即可在用户中心看到并使用该应用。 图4 授权设置

配置应用授权 登录管理中心。 选择左侧导航栏的“应用管理”。 在“全部应用”页签，单击待修改的应用操作列的“配置”。 单击“授权管理”，进入“授权管理”页签。 单击“授权设置”，在“授权提醒”页面确认授权信息。 在“授权设置”页面选择可用成员范围，可勾选“全员可用”或“自定义人员范围”，勾选“自定义人员范围”后可以指定成员、部门或者用户组，然后单击“确认”。 设置后，应用授权范围中会显示授权部门、授权人员或授权用户组信息。同时，授权用户列表中也会展示授权账号的详细情况（包括姓名、账号名、应用侧角色、来源、更新时间和同步状态），支持按照账号名进行过滤查询。

更多操作 您还可以进行以下操作。 表1 更多操作 操作名称 操作步骤 修改成员角色的有效期和数据范围 在“角色授权”页面，单击角色所在行“操作”列的“查看详情”。 在成员列表，单击待修改的成员所在行“操作”列的“查看”。 单击“查看成员角色”页面下方的“修改”。 修改成员已拥有的角色的有效期和自建应用角色的数据范围。 单击“保存”。 移除成员 在“角色授权”页面，单击角色所在行“操作”列的“查看详情”。 在成员列表，单击待移除的成员所在行“操作”列的“移除”。 单击“确认”。

加入服务伙伴能力提升专项计划的条件是什么？ （1）加入服务伙伴路径，并达到角色认证阶段； （2）年度内认证通过指定激励范围内的一级能力标签； （3）申请激励的一级能力标签的获得时间为2025年1月1日至2025年12月31日，以伙伴中心授予能力标签的时间为准； （4）同一个伙伴同一个一级能力标签仅能申请一次激励，不能重复申请； （5）已获得一级能力标签的伙伴需在获得能力标签当年12月31日前完成激励申请（包括培训激励、考试券激励和现金激励），未在当年申请的激励将自动失效，无法补申请； （6）由于激励上限有限，能力提升专项计划激励采用优先申请优先发放的原则。 父主题： 能力提升激励

服务伙伴认证专职团队及人员认证里需要在哪里考取哪些证书？ 专业认证证书: 云学堂考取，PMP证书需自费考取； 入门级证书: HCIA/HCCDA证书； 工作级证书：HCIP/HCCDP证书； HCIA/HCIP证书在华为人才在线平台考取； HCCDA/HCCDP证书在华为云云学堂考取； HCSA/HCSP证书在华为云云学堂考取； 专业认证需要考试 HCSA+HCSP证书。 要求需要一个个人账号考取HCSA+HCSP证书（基于华为云构建客户的业务体系考试，华为云合作伙伴销售基础课程考试），一个账号考取HCSA+HCSP证书后才会显示为1个。 可以用HCIP代替HCIA，角色认证如没有HCIA则要上传四个HCIP。 父主题： 服务合作伙伴发展路径

专职人员激励（FH）申请门槛？ 专家服务专职人员激励需服务伙伴达到“角色认证”阶段后可申请。 盘古行业专家服务为邀请制，需联系您的生态经理了解加入服务伙伴FH专职人员激励盘古行业专家激励要求。 昇腾云专家引入： 条件一为通过“角色认证”且获得“ CTS P称号”的服务伙伴。 条件二为通过昇腾计算技术认证的“应用软件伙伴”或“基础软件伙伴”称号的伙伴，目标伙伴采用邀请制。条件一与条件二为“或”的关系。 说明：2025年政策待发布，新政策发布后，需根据新发文确定新的准入条件。 父主题： 服务伙伴-专家服务专职人员激励

申请考试券要提前收集哪些信息？ 一、申请HCCDA/HCCDP/HCCDE考试券 选择用券人员，用券人员的个人华为账号要求如下： （1）注册个人华为账号并进行实名认证（仅中国站），之后绑定电子邮箱； （2）用您的伙伴账号邀请用券人员的个人华为账号完成关联。 二、申请HCIA/HCIP/HCIE考试券 选择用券人员，用券人员的个人华为账号要求如下： （1）注册个人华为账号并进行实名认证（仅中国站），之后绑定电子邮箱； （2）用您的伙伴账号邀请用券人员的个人华为账号完成关联。 收集用券人员的华为Uniportal账号，账号要求如下： （1）在华为人才在线平台注册uniportal账号，并完成实名认证。 父主题： 考试券

测试券之间的叠加关系是怎样的？ 例如：伙伴加入软件伙伴发展路径后，选择角色阶段的测试券额度上限为2万；完成角色认证阶段的测试券额度上升为10万；完成差异化认证后，测试券额度上升为30万。 例1：如果某伙伴在角色认证通过前，已经申请了2万测试券，那么通过角色认证后，还能再申请10万-2万=8万测试券。 例2：如果某伙伴在角色选择认证前，已经申请了2万测试券，通过角色认证后，又申请了6万测试券，那么该伙伴通过更高级的差异化认证后，还能申请的测试券为30万-2万-6万=22万。 父主题： 测试券

软件准备 需要准备表1所示的软件，并且参考裸金属服务器规格与驱动对应关系确认对应机型/操作系统需要安装的驱动。 表1 软件列表 序号 名称 说明 获取路径 提供方 1 操作系统ISO文件 要制作镜像的ISO文件。 说明： Windows操作系统目前仅支持Standard版本。 建议从各操作系统官方网站获取。 对应OS官方网站 2 SDI卡驱动程序软件包 镜像中安装SDI卡前端驱动插件，使裸金属服务器能够支持挂载云硬盘，并且支持从云硬盘启动，实现快速发放能力。 说明： 仅带有存储SDI卡的服务器镜像需要安装该软件包，SDI 2.2和SDI 3.0均无需安装。 linux操作系统： 访问https://support.huawei.com/enterprise/zh/intelligent-accelerator-components/sd100-pid-22040214/software/253495955?idAbsPath=fixnode01%7C23710424%7C251364409%7C21782478%7C22040214，单击下载“SD100-2.0.2.SPC15-DRIVER.zip”软件包并解压，根据镜像OS类型，获取对应的驱动包。比如centos7.6对应的驱动包为“kmod-scsi_ep_front-centos_7.6_1.0.18-3.10.0_957.el7.centos.x86_64.rpm”。 windows操作系统： 访问https://support.huawei.com/enterprise/zh/intelligent-accelerator-components/sd100-pid-22040214/software/250607152?idAbsPath=fixnode01%7C23710424%7C251364409%7C21782478%7C22040214单击下载“SD100-2.0.2.SPC11-DRIVER-V010.zip”软件包并解压，比如windows2016对应的驱动包为“sdidriver_win-2016-installpack.zip” 华为 3 bms-network-config网络配置程序软件包 用于网络自动化配置。 软件：https://bms-image-package.obs.cn-north-1.myhuaweicloud.com/bms-network-config-23.8.0.zip SHA256校验码：https://bms-image-package.obs.cn-north-1.myhuaweicloud.com/bms-network-config-23.8.0.zip.sha256 华为 4 Cloud-Init初始化工具 安装方式为在线安装，请确保制作镜像的服务器能够连接上互联网。 建议从官方网站获取。 Cloud-Init 5 Cloudbase-Init初始化工具 Windows密码注入插件，建议下载华为云指定的软件版本。 软件：https://bms-image-package.obs.cn-north-1.myhuaweicloud.com/windows/cloudbase_init/CloudbaseInitSetup_x64.msi SHA256校验码：https://bms-image-package.obs.cn-north-1.myhuaweicloud.com/CloudbaseInitSetup_x64.msi.sha256 Cloudbase-Init 6 Hi1822网卡驱动 集中式裸金属服务器配套有Hi1822网卡（标卡）时需要安装。 访问https://support.huawei.com/enterprise/zh/management-software/fusionserver-idriver-pid-21588909/software/，单击进入推荐或者最新的版本，根据镜像OS类型，下载对应操作系统的软件“FusionServer iDriver-xxx-Driver-xxx.zip”，获取Hi1822网卡驱动包。 例如： 进入“FusionServer iDriver 3.0.34”版本，勾选“CentOS”，下载软件“FusionServer iDriver-CentOS7.6-Driver-V116.zip”，解压后获取“onboard_driver_CentOS7.6.iso”，再解压后获取“NIC-Hi1822-CentOS7.6-hinic-3.9.0.8-1-x86_64.rpm”和“NIC-Hi1822-CentOS7.6-hinicadm-3.9.0.8-1-x86_64.rpm”驱动包。 华为 分布式裸金属服务器配套有2.2 SDI卡（卸载卡）时，需要安装Hi1822网卡驱动。 访问https://support.huawei.com，在首页搜索命名为“Hi1822_BM_X86_xxx.tar.gz”的软件包（“xxx”表示软件包版本），下载最新版本并解压。 在解压后的软件包中，根据镜像的操作系统类型，获取对应操作系统的驱动包。 华为 分布式裸金属服务器配套有3.0 SDI卡（卸载卡）时，需要安装Hi1822网卡驱动。 访问https://support.huawei.com，在首页搜索命名为“uNIC_GuestOS_Driver_BM_xxx.tar.gz”的软件包（“xxx”表示软件包版本），下载最新版本并解压。 在解压后的软件包中，根据镜像的操作系统类型，获取对应操作系统的驱动包。 华为 Hi1822网卡源码编译驱动包 访问链接地址https://support.huawei.com/enterprise/zh/intelligent-accelerator-components/in500-solution-pid-23507369/software， 单机进入最新的版本，下载hinic驱动源码包，上传os内，解压并编译驱动。 例如： 进入”IN500 solution 5.1.0.SPC213”版本，下载软件hinic-5.5.0.13.zip，解压后，根据Readme.txt步骤编译驱动和安装。 华为 7 IB网卡驱动 100G Infiniband网卡驱动。 访问https://network.nvidia.com/products/infiniband-drivers/linux/mlnx_ofed/，单击页面正下方的“Download”页签并选择对应操作系统进行下载。 Mellanox 8 FusionServer服务器驱动 FusionServer服务器的板载网卡、RAID卡、磁盘驱动等。 访问https://support.huawei.com/enterprise/zh/servers/fusionserver-idriver-pid-21588909/software，单击进入推荐版本，根据镜像OS类型，下载对应的驱动包。 华为 9 TaiShan服务器驱动 TaiShan服务器的网卡、RAID卡驱动。 访问https://support.huawei.com/enterprise/zh/management-software/taishanserver-idriver-pid-251215329/software，单击进入推荐版本，根据镜像OS类型，下载对应的驱动包。 华为 10 UltraPath软件 HBA卡挂载FC存储卷需要的多路径软件。 访问https://support.huawei.com/enterprise/zh/cloud-storage/ultrapath-pid-8576127/software，获取对应版本软件及文档。 华为 11 MLNX_OFED驱动 vroce能力依赖OFED驱动能力（指定5.8-3.0.7.0-LTS版本） 访问https://network.nvidia.com/products/infiniband-drivers/linux/mlnx_ofed/，单击页面正下方的“Download”页签，点击“Archive Versions”页签并选择5.8-3.0.7.0-LTS版本，根据对应操作系统进行下载驱动。 Mellanox vroce驱动 支持vroce协议的网卡驱动 （使用和hpd版本一致的vroce驱动） 根据驱动链接下载以下4个驱动包以及HPD驱动 hiroce3-*.rpm kmod-hinic3-*.rpm kmod-hisdk3-*.rpm kmod-sssdk-*.rpm SDI5.1(c7e/c7h) support链接：https://support.huawei.com/carrier/navi?coltype=software#col=software&detailId=PBI1-263196404&path=PBI1-253383977/PBI1-23710112/PBI1-23710137/PBI1-255213015 包名：hotplug-daemon-17.10.3.1-1.x86_64.rpm SDI5.0(kc2) support链接：https://support.huawei.com/carrier/navi?coltype=software#col=software&detailId=PBI1-263196404&path=PBI1-253383977/PBI1-23710112/PBI1-23710137/PBI1-255213015 包名：hotplug-daemon-17.10.5.1-1.aarch64.rpm SDI5.0(AC8) support链接：https://support.huawei.com/carrier/navi?coltype=software#col=software&detailId=PBI1-263196402&path=PBI1-253383977/PBI1-23710112/PBI1-23710137/PBI1-255213015 包名：hotplug-daemon-17.9.9.1-1.x86_64.rpm 华为 12 HPD网卡热插拔驱动 (所有涉及sdi5.0、sdi5.1的机型都需要安装） hotplug-daemon-*.rpm 注意： 未安装或者停止hotplug服务，会导致热插拔网卡失败。 SDI5.1(arm机型，安装hotplug-daemon-17.10.5.1-1.aarch64.rpm； x86机型，安装hotplug-daemon-17.10.3.1-1.x86_64.rpm) SDI5.0(arm机型，安装hotplug-daemon-17.10.5.1-1.aarch64.rpm） support链接：https://support.huawei.com/carrier/navi?coltype=software#col=software&detailId=PBI1-263196404&path=PBI1-253383977/PBI1-23710112/PBI1-23710137/PBI1-255213015 SDI5.0(x86机型，安装hotplug-daemon-17.9.9.1-1.x86_64.rpm) support链接：https://support.huawei.com/carrier/navi?coltype=software#col=software&detailId=PBI1-263196402&path=PBI1-253383977/PBI1-23710112/PBI1-23710137/PBI1-255213015 华为 在操作系统安装过程中，请务必按需选择操作系统中所需的软件包，安装的软件越多可能导致最终的镜像文件越大。 裸金属服务器的内存大小最低要求为：比所制作的镜像文件大150MB。请确保所制作的镜像满足此要求。 父主题： 制作镜像准备

FunctionGraph的容器镜像函数解析DNS内网域名 已获取内网域名和域名ID。 以添加解析记录的域名为例，获取方法如下： 登录云解析服务控制台。 获取域名ID。 单击“”，在搜索框中勾选“域名”，获取域名ID。 获取对应解析记录的域名。 单击域名进入记录集列表，选择指定记录集。 编写解析逻辑。 使用 API Explorer ，调试查询单个Zone下Record Set列表接口。 参数zone_id即上述步骤中获取的“域名ID”，单击“调试”，响应体中即可获取内网域名对应的IP。 图6 获取内网域名对应的IP 切换到代码示例可以获取完整的代码，如需查看相关依赖请参见SDK信息。 图7 获取相关代码

FunctionGraph的事件函数解析DNS内网域名 您需要提前创建VPC和DNS内网域名，再按照如下步骤操作。 内网域名关联VPC并添加记录集 登录云解析服务控制台，将内网域名关联VPC。 图1 关联VPC 点击进入域名并添加记录集，类型选择A。 图2 添加记录集 创建函数 创建一个运行时语言为Python 2.7版本的函数，代码示例如下： # -*- coding:utf-8 -*- import json import os def handler(event, context): os.system("curl -iv www.test.com") 为函数配置DNS与VPC委托 登录 统一身份认证 服务（IAM）控制台，为 函数工作流 服务配置“DNS ReadOnlyAccess”以及“VPC Administrator”权限的委托。详细操作步骤可参考配置函数委托。 图3 创建DNS与VPC委托 在进行解析域名时，函数需要查看云解析服务资源，所以必须要配置DNS资源数据读取权限，否则在执行函数时，会提示如下错误，获取不成功。 2020/08/20 10:37:12 GMT+08:00 Start invoke request 'a2f105b4-2e72-4fda-94a5-86d3837e961d', version: latest [GET /v2/zones/{zone_id}/recordsets] failed, response: {"code":"DNS.1802","message":"Policy doesn't allow dns:recordset:list to be performed."} 2020/08/20 10:37:13 GMT+08:00 Finish invoke request 'a2f105b4-2e72-4fda-94a5-86d3837e961d', duration: 1030.072ms, billing duration: 1100ms, memory used: 77.039MB. 配置函数 进入2创建的函数详情页面，在“设置”页签下，执行以下配置。 “权限”选择3创建的委托。 打开VPC访问开关，配置上述操作中创建的VPC、子网、域名，详情参考图4。 图4 配置函数 验证结果 保存后执行函数时，就能在代码中解析该域名中配置的所有IPV4类型的域名。 图5 执行函数 配置完成VPC域名解析后，在DNS云解析服务中修改域名对应的IP，将在10min后生效。

步骤三：在中心网络内为跨区域连接配置带宽 为中心网络内的跨区域连接配置带宽，根据业务的实际需要配置，确保带宽满足业务需求，跨地域连接带宽的详细规划请参见表5。 云连接服务默认为您在各个区域之间分配了10kbps的域间带宽，用来支撑连通性测试。“对等连接（Peering）”连接添加完成后，您就可以验证网络连通性，具体方法请参见步骤四：验证跨区域网络的通信情况。 为了业务正常使用，您需要继续执行以下操作购买全域互联带宽，并为跨区域连接配置带宽。 为连通区域A和区域B的连接配置带宽。 基于购买的全域互联带宽为两个互通的区域配置带宽，具体方法请参见配置跨地域连接带宽。 为连通区域A和区域C的连接配置带宽。 为连通区域B和区域C的连接配置带宽。

步骤二：在企业路由器中配置VPC连接 在企业路由器中配置“虚拟私有云（VPC）”连接，即将VPC接入企业路由器中，资源规划详情请参见表5。 在区域A内，在企业路由器ER-A中添加“虚拟私有云（VPC）”连接。 将VPC接入企业路由器中。 本示例添加“虚拟私有云（VPC）”连接时开启“配置连接侧路由”，免去手工在VPC路由表中配置路由。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“虚拟私有云（VPC）”连接后，以下均为系统自动配置： 在默认路由表中创建关联。 在默认路由表中创建传播，并自动学习VPC网段路由信息。 （可选）在VPC路由表中配置ER的路由信息。 如果您添加“虚拟私有云（VPC）”连接时开启“配置连接侧路由”，则无需执行该操作，系统会自动在VPC路由表中添加路由，路由详情请参见表3。 配置路由信息，具体方法请参见在VPC路由表中配置路由。 在区域B内，参考1，在企业路由器ER-B中添加“虚拟私有云（VPC）”连接。 在区域C内，参考1，在企业路由器ER-C中添加“虚拟私有云（VPC）”连接。

步骤四：验证跨区域网络的通信情况 登录弹性云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 在弹性云服务器的远程登录窗口，执行以下命令，验证网络互通情况。 执行以下命令，验证跨区域VPC网络互通情况。 ping 弹性云服务器IP地址 以登录ECS-A，验证VPC-A与VPC-B的网络互通情况为例： ping 192.168.0.5 回显类似如下信息，表示VPC-A与VPC-B通信正常。 [root@ECS-A ~]# ping 192.168.0.5 PING 192.168.0.5 (192.168.0.5) 56(84) bytes of data. 64 bytes from 192.168.0.5: icmp_seq=1 ttl=62 time=30.6 ms 64 bytes from 192.168.0.5: icmp_seq=2 ttl=62 time=30.2 ms 64 bytes from 192.168.0.5: icmp_seq=3 ttl=62 time=30.1 ms 64 bytes from 192.168.0.5: icmp_seq=4 ttl=62 time=30.1 ms ... --- 192.168.0.5 ping statistics --- 执行以下命令，验证跨区域VPC网络互通情况。 ping 弹性云服务器IP地址 以登录ECS-A，验证VPC-A与VPC-C的网络互通情况为例： ping 10.0.0.29 回显类似如下信息，表示VPC-A与VPC-C通信正常。 [root@ECS-A ~]# ping 10.0.0.29 PING 10.0.0.29 (10.0.0.29) 56(84) bytes of data. 64 bytes from 10.0.0.29: icmp_seq=1 ttl=62 time=27.4 ms 64 bytes from 10.0.0.29: icmp_seq=2 ttl=62 time=27.0 ms 64 bytes from 10.0.0.29: icmp_seq=3 ttl=62 time=26.10 ms 64 bytes from 10.0.0.29: icmp_seq=4 ttl=62 time=26.9 ms ... --- 10.0.0.29 ping statistics --- 重复执行1~2，验证其他VPC之间的网络互通情况。

操作流程 表6 构建跨区域VPC组网流程说明 步骤 说明 准备工作 使用云服务前，您需要 注册华为账号 并开通华为云、完成实名认证、为账户充值。 步骤一：创建云服务资源 创建3个企业路由器，每个区域内需要1个企业路由器。 创建业务VPC和其子网，本示例中在每个区域下各创建1个VPC和1子网。 在每个业务VPC子网内创建ECS，本示例中共创建3个ECS。 创建1个中心网络，创建中心网络时需要配置策略，此时需要将不同区域的企业路由器添加到策略中。 创建全域互联带宽，本示例中创建3个全域互联带宽连通不同区域网络。 步骤二：在企业路由器中配置VPC连接 针对每个区域的企业路由器，分别在企业路由器中添加“虚拟私有云（VPC）”连接，即将VPC接入企业路由器中。 步骤三：在中心网络内为跨区域连接配置带宽 为中心网络内的跨区域连接配置带宽，根据业务的实际需要配置，确保带宽满足业务需求。 步骤四：验证跨区域网络的通信情况 分别登录不同区域的ECS，执行ping命令，验证网络互通情况。

步骤一：创建云服务资源 本示例中，您需要创建企业路由器，虚拟私有云、中心网络等资源，资源规划详情请参见表5。 在3个区域内，各创建1个企业路由器。 创建企业路由器，具体方法请参见创建企业路由器。 不同区域内的企业路由器，建议您使用不同的AS号。 在3个区域内，各创建1个VPC。 创建VPC及子网，具体方法请参见创建虚拟私有云和子网。 在3个区域内，各创建1个ECS。 创建ECS，具体方法请参见自定义购买ECS。 创建中心网络，并在策略中添加需要连通的企业路由器。 创建1个中心网络，并在策略中添加企业路由器。 创建中心网络，具体方法请参见创建中心网络。 在企业路由器控制台，查看“对等连接（Peering）”连接的添加情况。 具体方法请参见查看连接。 “对等连接（Peering）”连接的状态“正常”，表示已成功接入企业路由器中。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此配置策略，即添加完“对等连接（Peering）”连接后，以下均为系统自动配置： 在ER的默认路由表中创建关联 在ER默认路由表中创建传播，并自动学习对方路由表中的路由信息。 创建3个全域互联带宽，连通不同区域的网络链路。 创建全域互联带宽，具体方法请参见购买全域互联带宽。

方案架构 为了实现业务的就近接入，XX企业在华为云区域A、区域B以及区域C内均部署了业务，承载业务的不同VPC之间需要网络互通。 在三个区域中，分别创建三个企业路由器ER，包括区域A的ER-A、区域B的ER-B以及区域C的ER-C。 创建云连接中心网络，并在云连接中心网络中加入ER-A、ER-B以及ER-C，连通不同区域的企业路由器。 在区域A内，将VPC-A01和VPC-A02接入ER内，实现同区域内VPC互通。在区域B和区域C进行同样的操作。最终，通过中心网络和企业路由器，实现不同区域的VPC网络互通。 图1 跨区域VPC互通组网 您可以使用企业路由器的共享功能，将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。

错误码 如果操作请求在执行过程中出现异常导致未被处理，则会返回一条错误信息，错误信息中包括错误码和具体错误描述。 表1 错误码说明 错误码 状态码 错误信息 描述 处理措施 UCS.00000001 400 Failed to obtain the user information. 未能获取用户信息 请确认账号状态，或联系技术支持。 UCS.00000004 403 Request forbidden. 禁止请求 请确认账号权限是否满足。 UCS.00000005 500 Database operation failed. 数据库操作失败 请参考返回的message，或联系技术支持。 UCS.00000006 500 Server internal error. 服务器内部错误 请参考返回的message，或联系技术支持。 UCS.00000007 500 Data transform error. 数据转换失败 请参考返回的message，或联系技术支持。 UCS.00000008 500 Error add event. 添加事件失败 请参考返回的message，或联系技术支持。 UCS.00000009 500 Data unmarshal error. 数据反序列化失败 请参考返回的message，或联系技术支持。 UCS.00000010 500 Data marshal error. 数据序列化失败 请参考返回的message，或联系技术支持。 UCS.00000011 400 Bad query parameter value. 请求参数非法 请参考返回的message和UCS接口文档修改请求参数，或联系技术支持。 UCS.00000012 400 Invalid request body. 请求体非法 请参考返回的message和UCS接口文档修改请求体，或联系技术支持。 UCS.00000013 404 No requested resources found. 请求资源不存在 请确认要访问的资源是否已被删除。 UCS.00000014 500 Failed to encrypt data. 加密数据失败 请参考返回的message，或联系技术支持。 UCS.00000015 500 Failed to decrypt data. 解密数据失败 请参考返回的message，或联系技术支持。 UCS.00000016 400 Invalid header value. 请求头非法 请参考返回的message和UCS接口文档修改请求参数，或联系技术支持。 UCS.00000017 400 Insufficient quota 配额不足 请提交工单增加对应资源配额，或联系技术支持。 UCS.00000018 401 Authorization failed. 授权失败 请参考返回的message，或联系技术支持。 UCS.00010001 500 Failed to get iam connection. 获取IAM连接失败 请参考返回的message，或联系技术支持。 UCS.00010002 403 Sub-user has no authority to create agency. 子用户无权创建委托 请使用主账号创建委托。 UCS.00010003 400 Failed to create agency. 创建委托失败 请参考返回的message，或联系技术支持。 UCS.00010009 400 Failed to get project token by agency 通过委托获取项目token失败 请参考返回的message，或联系技术支持。 UCS.00010011 400 Failed to get project id by project name. 获取项目id失败 请参考返回的message，或联系技术支持。 UCS.00010012 400 IAM agency quota insufficient, please expand agency quota 超出IAM委托配额 请提交工单增加委托配额。 UCS.00010013 400 fail to get iam pdp authorize result 获取PDP鉴权结果失败 请参考返回的message，或联系技术支持。 UCS.00010014 403 iam pdp authentication denied PDP鉴权拒绝 请确认账号权限是否满足，或联系技术支持。 UCS.00010015 403 iam rbac authentication denied RBAC鉴权拒绝 请确认集群权限是否满足。 UCS.00020002 500 Failed to get certs. 获取证书失败 请参考返回的message，或联系技术支持。 UCS.00020003 500 Failed to create certs. 创建证书失败 请参考返回的message，或联系技术支持。 UCS.00020003 500 Failed to delete certs. 删除证书失败 请参考返回的message，或联系技术支持。 UCS.00030001 404 Cluster Not Found. 集群不存在 请确认集群是否存在。 UCS.00030002 400 Failed to obtain the cluster information. 获取集群信息失败 请确认集群是否存在。 UCS.00030003 400 Failed to get resourceJob info with cluster status 获取resource job失败 请参考返回的message，或联系技术支持。 UCS.00040001 400 Failed to obtain the mesh information. 获取网格信息失败 请确认网格是否存在，或联系技术支持。 UCS.00100001 400 Failed to publish message to smn. 发布消息到 SMN 失败 请参考返回的message，或联系技术支持。 UCS.00100002 400 smn topic error. SMN主题错误 请参考返回的message，或联系技术支持。 UCS.00100003 400 smn subscription error. SMN订阅错误 请参考返回的message，或联系技术支持。 UCS.00110001 400 SDR failed to get billing raw data 获取计费数据失败 请参考返回的message，或联系技术支持。 UCS.00120001 400 CBC failed to update resources status 更新CBC资源状态失败 请参考返回的message，或联系技术支持。 UCS.00130001 400 Get UCS Agency info error 获取UCS委托错误 请参考返回的message，或联系技术支持。 UCS.00140001 400 Create ClusterRole failed ClusterRole创建失败 请参考返回的message，或联系技术支持。 UCS.00140002 400 Delete ClusterRole failed ClusterRole删除失败 请参考返回的message，或联系技术支持。 UCS.00140003 400 Update ClusterRole failed ClusterRole更新失败 请参考返回的message，或联系技术支持。 UCS.00140004 400 Get ClusterRole failed ClusterRole信息获取失败 请参考返回的message，或联系技术支持。 UCS.00140005 400 Create ClusterRoleBinding failed ClusterRoleBinding创建失败 请参考返回的message，或联系技术支持。 UCS.00140006 400 Delete ClusterRoleBinding failed ClusterRoleBinding删除失败 请参考返回的message，或联系技术支持。 UCS.00140007 400 Update ClusterRoleBinding failed ClusterRoleBinding更新失败 请参考返回的message，或联系技术支持。 UCS.00140008 400 Get ClusterRoleBinding failed ClusterRoleBinding信息获取失败 请参考返回的message，或联系技术支持。 UCS.00140009 400 Create Role failed Role创建失败 请参考返回的message，或联系技术支持。 UCS.00140010 400 Delete Role failed Role删除失败 请参考返回的message，或联系技术支持。 UCS.00140011 400 Update Role failed Role更新失败 请参考返回的message，或联系技术支持。 UCS.00140012 400 Get Role failed Role信息获取失败 请参考返回的message，或联系技术支持。 UCS.00140013 400 Create RoleBinding failed RoleBinding创建失败 请参考返回的message，或联系技术支持。 UCS.00140014 400 Delete RoleBinding failed RoleBinding删除失败 请参考返回的message，或联系技术支持。 UCS.00140015 400 Update RoleBinding failed RoleBinding更新失败 请参考返回的message，或联系技术支持。 UCS.00150001 400 Cluster policy validate failed. 集群策略验证失败 请确认集群策略中心状态是否运行中。 UCS.00150002 400 ClusterGroup policy validate failed. 集群组策略验证失败 请确认舰队策略中心状态是否运行中。 UCS.00150003 400 Cluster has enable policy. 集群已启用策略 请勿重复开启策略中心，集群已经启用策略中心。 UCS.00150004 400 ClusterGroup has enable policy. 集群组已启用策略 请勿重复开启策略中心，舰队已经启用策略中心。 UCS.00150005 400 Cluster not enable policy. 集群未启用策略 请确认集群已经开启策略中心。 UCS.00150006 400 ClusterGroup not enable policy. 集群组未启用策略 请确认舰队已经开启策略中心。 UCS.00150007 500 Get policy job failed. 获取策略任务失败 请参考返回的message，或联系技术支持。 UCS.01000001 400 Failed to obtain the user information. 获取用户信息失败 请参考返回的message，或联系技术支持。 UCS.01000002 429 The throttling threshold has been reached. 达到流控阈值 请稍后重试。 UCS.01000003 401 Authorization failed. 授权失败 请参考返回的message，或联系技术支持。 UCS.01000004 403 Request forbidden. 禁止请求 请参考返回的message，或联系技术支持。 UCS.01000005 500 Database operation failed. 数据库操作失败 请参考返回的message，或联系技术支持。 UCS.01000006 500 Server internal error. 服务器内部错误 请参考返回的message，或联系技术支持。 UCS.01000007 500 Data transform error. 数据转换失败 请参考返回的message，或联系技术支持。 UCS.01000008 500 Error add event. 添加事件失败 请参考返回的message，或联系技术支持。 UCS.01000009 500 Data unmarshal error. 数据反序列化失败 请参考返回的message，或联系技术支持。 UCS.01000010 500 Data marshal error. 数据序列化失败 请参考返回的message，或联系技术支持。 UCS.01000011 400 Bad query parameter value. 请求参数非法 请参考返回的message和UCS接口文档修改请求参数，或联系技术支持。 UCS.01000012 400 Invalid request body. 请求体非法 请参考返回的message和UCS接口文档修改请求体，或联系技术支持。 UCS.01000013 404 No requested resources found. 请求资源不存在 请确认集群或者容器舰队是否存在。 UCS.01000014 500 Failed to encrypt data. 加密数据失败 请参考返回的message，或联系技术支持。 UCS.01000015 500 Failed to decrypt data. 解密数据失败 请参考返回的message，或联系技术支持。 UCS.01000016 400 Invalid header value. 请求头非法 请参考返回的message和UCS接口文档修改请求参数，或联系技术支持。 UCS.01000017 400 Insufficient quota 配额不足 请提交工单增加对应资源配额，或联系技术支持。 UCS.01000018 400 Quota info validate failed 配额参数校验失败 请参考返回的message，或联系技术支持。 UCS.01000019 500 Quota update failed 配额更新失败 请参考返回的message，或联系技术支持。 UCS.01010001 500 Failed to get iam connection. 获取IAM连接失败 请参考返回的message，或联系技术支持。 UCS.01010002 500 Failed to get project token by agency 通过委托获取项目token失败 请参考返回的message，或联系技术支持。 UCS.01010003 403 No access permission. Please contact the administrator. 无访问权限 请参考返回的message，或联系技术支持。 UCS.01010005 400 get IAM agency's token error 获取委托token失败 请参考返回的message，或联系技术支持。 UCS.01010006 400 fail to get iam pdp authorize result 获取PDP鉴权结果失败 请参考返回的message，或联系技术支持。 UCS.01010007 403 iam pdp authentication denied PDP鉴权拒绝 请确认账号权限是否满足，或联系技术支持。 UCS.01010008 403 iam rbac authentication denied RBAC鉴权拒绝 请确认集群权限是否满足。 UCS.01020002 500 Failed to get certs. 获取证书失败 请参考返回的message，或联系技术支持。 UCS.01020003 500 Failed to create certs. 创建证书失败 请参考返回的message，或联系技术支持。 UCS.01020004 500 Failed to delete certs. 删除证书失败 请参考返回的message，或联系技术支持。 UCS.01030001 404 Cluster Not Found. 集群不存在 请确认集群是否存在。 UCS.01030002 400 Failed to obtain the cluster information. 获取集群信息失败 请确认集群是否存在。 UCS.01030003 409 The same cluster already exists. 存在同名集群 请勿注册同名集群。 UCS.01030004 400 Cluster status is unavailable, please fix cluster first. 集群状态不可用 请确认集群状态是否可用。 UCS.01030005 403 No authorization for cluster 集群授权失败 请确认该集群是否属于对应账户。 UCS.01030006 400 Create resource job for cluster error 集群创建resource job失败 请参考返回的message，或联系技术支持。 UCS.01030007 400 Create on-demand order for cluster error 创建按需订单失败 请参考返回的message，或联系技术支持。 UCS.01030008 400 Cluster kubeconfig format error. 集群kubeconfig格式错误 请确认kubeconfig内容是否正确。 UCS.01030009 400 This cluster does not support unregister 集群不支持注销 请删除集群安装的插件，再注销集群 UCS.01030011 400 Cluster category not supported 不支持该集群类别 请参考UCS支持的集群类型，确认集群类型是否支持。 UCS.01030012 400 Register cce cluster error 注册cce集群失败 请参考返回的message，或联系技术支持。 UCS.01030013 400 Register attached cluster error 注册附着集群失败 请参考返回的message，或联系技术支持。 UCS.01030014 400 Register on-premise cluster error 注册本地集群失败 请参考返回的message，或联系技术支持。 UCS.01030015 100 Register multi cloud cluster error 注册多云集群失败 请参考返回的message，或联系技术支持。 UCS.01030016 400 Cluster has been frozen 集群已被冻结 请确认集群状态是否正常。 UCS.01080002 400 Cluster group has federalized. 舰队已开启联邦 请勿重复开启联邦，舰队联邦已开启。 UCS.01080003 500 Cluster group federation failed. 舰队联邦操作失败 请参考返回的message，或联系技术支持。 UCS.01080004 400 Cluster group federation validate failed. 开启联邦校验失败 请参考返回的message，或联系技术支持。 UCS.01080005 400 Retry join all clusters to federation failed. 重试所有集群加入联邦失败 请参考返回的message，或联系技术支持。 UCS.01080006 400 Cluster group has not been federalized. 舰队未开启联邦 请开启联邦后再操作。 UCS.01080007 400 Retry join cluster to federation failed. 重试集群加入联邦失败 请参考返回的message，或联系技术支持。 UCS.01090001 400 Failed to obtain the mesh information. 获取网格信息失败 请确认网格是否存在，或联系技术支持。 UCS.01100002 400 associate cluster with clustergroup error 集群加入舰队失败 请参考返回的message，或联系技术支持。 UCS.01100003 400 associate cluster with rule error 舰队添加权限策略失败 请参考返回的message，或联系技术支持。 UCS.01100005 404 ClusterGroup Not Found. 舰队不存在 请确认舰队是否存在。 UCS.01100006 400 Cluster number in fleet exceed limit. 舰队内集群数量超过限制 请提交工单增加舰队内集群配额。 UCS.01100007 400 Update associated clusters validate failed 更新关联集群状态校验失败 请参考返回的message，或联系技术支持。 UCS.01110001 400 resource notification to SMN error 通知SMN失败 请参考返回的message，或联系技术支持。 UCS.01120001 400 Create ClusterRole failed ClusterRole创建失败 请参考返回的message，或联系技术支持。 UCS.01120002 400 Delete ClusterRole failed ClusterRole删除失败 请参考返回的message，或联系技术支持。 UCS.01120003 400 Update ClusterRole failed ClusterRole更新失败 请参考返回的message，或联系技术支持。 UCS.01120004 400 Get ClusterRole failed ClusterRole信息获取失败 请参考返回的message，或联系技术支持。 UCS.01120005 400 Create ClusterRoleBinding failed ClusterRoleBinding创建失败 请参考返回的message，或联系技术支持。 UCS.01120006 400 Delete ClusterRoleBinding failed ClusterRoleBinding删除失败 请参考返回的message，或联系技术支持。 UCS.01120007 400 Update ClusterRoleBinding failed ClusterRoleBinding更新失败 请参考返回的message，或联系技术支持。 UCS.01120008 400 Get ClusterRoleBinding failed ClusterRoleBinding信息获取失败 请参考返回的message，或联系技术支持。 UCS.01120009 400 Create Role failed Role创建失败 请参考返回的message，或联系技术支持。 UCS.01120010 400 Delete Role failed Role删除失败 请参考返回的message，或联系技术支持。 UCS.01120011 400 Update Role failed Role更新失败 请参考返回的message，或联系技术支持。 UCS.01120012 400 Get Role failed Role信息获取失败 请参考返回的message，或联系技术支持。 UCS.01120013 400 Create RoleBinding failed RoleBinding创建失败 请参考返回的message，或联系技术支持。 UCS.01120015 400 Update RoleBinding failed RoleBinding更新失败 请参考返回的message，或联系技术支持。 UCS.01130001 400 policy management create reconcile job failed 策略管理创建协调作业失败 请参考返回的message，或联系技术支持。 UCS.01130002 400 policy management create disable job failed 策略管理创建禁用作业失败 请参考返回的message，或联系技术支持。 UCS.01130003 400 cluster policy validate failed. 集群策略验证失败 请确认集群策略中心状态正常。 UCS.01130004 400 clusterGroup policy validate failed. 集群组策略验证失败 请确认舰队策略中心状态正常。 UCS.01130005 400 cluster policy management is in installing or closing status 集群策略管理处于安装或关闭状态 请等待集群策略中心开启或者关闭完成后再操作。 UCS.01130006 400 cluster group policy management is in installing or closing status 集群组策略管理处于安装或关闭状态 请等待舰队策略中心开启或者关闭完成后再操作。

集群数据面组件说明 当前支持收集以下两种类型的数据面日志，每个日志流对应一个Kubernetes数据层面组件。关于这些组件的更多信息，请参见Kubernetes组件。 表1 集群数据面组件说明 类别 组件 日志流 说明 数据面组件日志 default-stdout stdout-{clusterID} 采集标准输出。默认日志组：k8s-logs-{集群ID}。 default-event event-{clusterID} 采集Kubernetes事件。默认日志组：k8s-logs-{集群ID}。

使用云原生日志采集插件采集日志 查看并配置日志采集策略。 登录容器舰队控制台，单击集群名称进入集群，选择左侧导航栏的“日志中心”。 右上角单击“日志采集策略”，将显示当前集群所有上报LTS的日志策略。 图1 查看日志策略 若安装插件时勾选了采集标准输出和采集Kubernetes事件，将创建两个日志策略，并对接默认的LTS日志组、日志流。 创建日志策略：单击上方“创建日志策略”，输入要采集的配置信息。 策略模板：若安装插件时未勾选需要采集的日志策略，或者删除了对应的日志策略，可通过该方式重新创建默认日志策略。 图2 使用策略模板 自定义策略：用于配置自定义日志策略。 图3 自定义策略 表2 自定义策略参数说明 参数 说明 日志类型 指定采集哪类日志。 容器标准输出：用于采集容器标准输出，可以按命名空间、工作负载名称、实例标签配置采集策略。 容器文件路径：用于采集容器内的日志，可以按工作负载和实例标签配置采集策略。 节点文件路径：用于采集节点上的日志文件，一条日志策略只能配置一个文件路径。 日志源 采集哪些容器的日志。 所有容器：可以指定采集某个命名空间的所有容器，如不指定则采集所有命名空间的容器。 指定工作负载：指定采集哪些工作负载容器的日志，可以指定采集工作负载中具体容器的日志，如不指定则采集所有容器的日志。 指定实例标签：根据标签指定采集哪些工作负载容器的日志，可以指定采集工作负载中具体容器的日志，如不指定则采集所有容器的日志。 路径配置 用于配置需要采集的日志路径。 文件路径必须以/ 开头，只能包含大写字母、小写字母、数字或特殊字符-_/*?，且长度不能超过512个字符。 文件名称只能包含大写字母、小写字母、数字或特殊字符-_*?.。 日志文件夹：请填写绝对路径。日志文件名：不支持.gz、.tar、.zip后缀类型。 最多有三级目录采用通配符匹配，且第一级目录不能使用通配符。 目录名和文件名支持完整名称和通配符模式，通配符只支持星号（*）和半角问号（?）。 星号（*）表示匹配多个任意字符。半角问号（?）表示匹配单个任意字符。例如： 日志路径为/var/logs/* 文件名*.log，表示/var/logs下所有目录中后缀名为.log的文件。 日志路径为 /var/logs/app_* 文件名*.log，表示/var/logs目录下所有符合app_*格式的目录中后缀名为.log的文件。 如果业务容器的数据目录是通过数据卷（Volume）挂载的，插件不支持采集它的父目录，需设置采集目录为完整的数据目录。例如/var/log/service目录是数据卷挂载的路径，则设置采集目录为/var/log或/var/log/*将采集不到该目录下的日志，需设置采集目录为/var/log/service。 日志格式 单行文本 每条日志仅包含一行文本，以换行符 \n 作为各条日志的分界线。 多行文本 有些程序打印的日志存在一条完整的日志数据跨占多行（例如 Java 程序日志）情况，日志采集系统默认是按行采集。如果您想在日志采集系统中按整条显示日志，可以开启多行文本，采用首行正则的方式进行匹配，当选择多行文本时，需填写日志匹配格式。 例如： 需采集的日志格式如下，则需填写时间的正则匹配，在日志匹配格式处填写：\d{4}-\d{2}-\d{2} \d{2}\:\d{2}\:\d{2}.* 则下面以日期开头三行日志会作为一条完整日志。 2022-01-01 00:00:00 Exception in thread "main" java.lang.RuntimeException: Something has gone wrong, aborting! at com.myproject.module.MyProject.badMethod(MyProject.java:22) at com.myproject.module.MyProject.oneMoreMethod(MyProject.java:18) 上报到 云日志 服务(LTS) 用于配置日志上报的日志组和日志流。 使用默认日志组/日志流：将为您自动选择默认日志组（k8s-log-{集群ID}）和默认的日志流（stdout-{集群ID}）。 自定义日志组/日志流：可在下拉框选择任意日志组和日志流。 日志组 日志组是云日志服务进行日志管理的基本单位。如果您未创建日志组，CCE会提示您进行创建，默认名称为k8s-log-{集群ID}，如 k8s-log-bb7eaa87-07dd-11ed-ab6c-0255ac1001b3。 日志流 日志流（LogStream）：日志流是日志读写的基本单位，日志组中可以创建日志流，将不同类型的日志分类存储，方便对日志进一步分类管理。在安装插件或者根据模板创建日志策略时，会自动创建以下日志流： 容器日志：默认名称为stdout-{集群ID}，如 stdout-bb7eaa87-07dd-11ed-ab6c-0255ac1001b3 k8s事件：默认名称为event-{集群ID}，如 event-bb7eaa87-07dd-11ed-ab6c-0255ac1001b3 编辑日志策略：单击“编辑”按钮，可对已经存在的日志策略进行修改。 删除日志策略：单击“删除”按钮，可对已经存在的日志策略进行删除。 查看日志。 登录容器舰队控制台，单击集群名称进入集群，选择左侧导航栏的“日志中心”。 日志中心下有5个页签，支持不同类型日志查看。 容器日志：显示默认日志组（k8s-log-{集群ID}）下默认日志流（stdout-{集群ID}）中的所有日志数据，华为云集群支持通过工作负载搜索。 图4 容器日志查询 Kubernetes事件：显示默认日志组（k8s-log-{集群ID}）下默认日志流（event-{集群ID}）中的所有日志数据，用于查询集群产生的Kubernetes事件。 控制面组件日志：显示默认日志组（k8s-log-{集群ID}）下默认日志流（{组件名}-{集群ID}）中的所有日志数据，用于查看集群控制面重要组件的日志信息。 控制面审计日志：显示默认日志组（k8s-log-{集群ID}）下默认日志流audit-{集群ID}）中的所有日志数据，用于查看集群控制面审计日志信息。 全局日志查询：支持查看所有日志组日志流下的日志信息。可通过选择日志流查看所选日志流中的日志信息，默认会选择集群默认日志组（k8s-log-{集群ID}），可通过单击切换日志组右侧的图标切换其他日志组。 图5 全局日志查询 单击右上角“日志采集策略”，单击“查看日志”，可以直接跳转至对应日志策略的日志列表。 图6 查看日志

不同规格的资源配额要求 安装kube-prometheus-stack插件时，需确保集群中有足够的CPU、内存等可调度资源。Agent模式默认规格的资源配额要求请参见表1，Server模式下不同插件规格的资源配额要求请参见表2。 表1 Agent模式默认规格的资源配额要求 插件规格 容器实例 CPU配额 内存配额 默认规格 prometheusOperator 申请：100m 限制：500m 申请：100Mi 限制：500Mi prometheus 申请：500m 限制：4 申请：1Gi 限制：8Gi kube-state-metrics 申请：200m 限制：500m 申请：200Mi 限制：500Mi nodeExporter 申请：200m 限制：500m 申请：200Mi 限制：1Gi grafana 申请：100m 限制：500m 申请：200Mi 限制：2Gi 表2 Server模式不同规格的资源配额要求 插件规格 容器实例 CPU配额 内存配额 演示规格（100容器以内） prometheusOperator 申请：200m 限制：500m 申请：200Mi 限制：500Mi prometheus 申请：500m 限制：2 申请：2Gi 限制：8Gi alertmanager 申请：200m 限制：1 申请：200Mi 限制：1Gi thanosSidecar 申请：100m 限制：1 申请：100Mi 限制：2Gi thanosQuery 申请：500m 限制：2 申请：500Mi 限制：4Gi adapter 申请：400m 限制：2 申请：400Mi 限制：1Gi kube-state-metrics 申请：200m 限制：500m 申请：200Mi 限制：500Mi nodeExporter 申请：200m 限制：500m 申请：200Mi 限制：1Gi grafana 申请：200m 限制：500m 申请：200Mi 限制：2Gi clusterProblemDetector 申请：100m 限制：200m 申请：200Mi 限制：400Mi 小规格（2000容器以内） prometheusOperator 申请：200m 限制：500m 申请：200Mi 限制：500Mi prometheus 申请：4 限制：8 申请：16Gi 限制：32Gi alertmanager 申请：500m 限制：1 申请：500Mi 限制：1Gi thanosSidecar 申请：500m 限制：1 申请：500Mi 限制：2Gi thanosQuery 申请：2 限制：4 申请：2Gi 限制：16Gi adapter 申请：2 限制：4 申请：4Gi 限制：16Gi kube-state-metrics 申请：500m 限制：1 申请：500Mi 限制：1Gi nodeExporter 申请：200m 限制：500m 申请：200Mi 限制：1Gi grafana 申请：200m 限制：500m 申请：200Mi 限制：2Gi clusterProblemDetector 申请：200m 限制：500m 申请：300Mi 限制：1Gi 中规格（5000容器以内） prometheusOperator 申请：500m 限制：1 申请：500Mi 限制：1Gi prometheus 申请：8 限制：16 申请：32Gi 限制：64Gi alertmanager 申请：500m 限制：1 申请：500Mi 限制：2Gi thanosSidecar 申请：1 限制：2 申请：1Gi 限制：4Gi thanosQuery 申请：2 限制：4 申请：2Gi 限制：16Gi adapter 申请：2 限制：4 申请：16Gi 限制：32Gi kube-state-metrics 申请：1 限制：2 申请：1Gi 限制：2Gi nodeExporter 申请：200m 限制：500m 申请：200Mi 限制：1Gi grafana 申请：200m 限制：500m 申请：200Mi 限制：2Gi clusterProblemDetector 申请：200m 限制：1 申请：400Mi 限制：2Gi 大规格（超过5000容器） prometheusOperator 申请：500m 限制：1 申请：500Mi 限制：2Gi prometheus 申请：8 限制：32 申请：64Gi 限制：128Gi alertmanager 申请：1 限制：2 申请：1Gi 限制：4Gi thanosSidecar 申请：2 限制：4 申请：2Gi 限制：8Gi thanosQuery 申请：2 限制：4 申请：2Gi 限制：32Gi adapter 申请：2 限制：4 申请：32Gi 限制：64Gi kube-state-metrics 申请：1 限制：3 申请：1Gi 限制：3Gi nodeExporter 申请：200m 限制：500m 申请：200Mi 限制：1Gi grafana 申请：200m 限制：500m 申请：200Mi 限制：2Gi clusterProblemDetector 申请：200m 限制：1 申请：400Mi 限制：2Gi

插件简介 kube-prometheus-stack通过使用Prometheus Operator和Prometheus，提供简单易用的端到端Kubernetes集群监控能力，同时还具备自定义插件规格、对接Grafana、高可用、节点亲和等能力。 kube-prometheus-stack插件的核心组件包括prometheusOperator、prometheus、alertmanager、thanosSidecar、thanosQuery、adapter、kubeStateMetrics、nodeExporter、grafana。 prometheusOperator：根据自定义资源（Custom Resource Definition / CRDs）来部署和管理Prometheus Server，同时监控这些自定义资源事件的变化来做相应的处理，是整个系统的控制中心。 prometheus（Server）：Operator根据自定义资源Prometheus类型中定义的内容而部署Prometheus Server集群，这些自定义资源可以看作是用来管理Prometheus Server集群的StatefulSets资源。 alertmanager：插件的告警中心，主要用于接收Prometheus发送的告警并通过去重、分组、分发等能力管理告警信息。 thanosSidecar：高可用场景和Prometheus运行在同一个Pod中，用于实现普罗指标数据的持久化存储。 thanosQuery：普罗高可用时PromQL查询的入口，能够对来自Store或Prometheus的相同指标进行重复数据删除。 adapter（custom-metrics-apiserver）：将自定义指标聚合到原生的Kubernetes API Server。 kube-state-metrics：将Prometheus的metrics数据格式转换成Kubernetes API接口能识别的格式。kube-state-metrics组件在默认配置下，不采集Kubernetes资源的所有labels和annotation。如需采集，请参考如何修改kube-state-metrics组件的采集配置？章节进行配置。 nodeExporter：每个节点上均有部署，收集Node级别的监控数据。 grafana：可视化浏览普罗监控数据。Grafana会默认创建大小为5 GiB的存储卷，卸载插件时Grafana的存储卷不随插件被删除。 clusterProblemDetector：用于监控集群异常。

容器舰队支持的能力范围 集群接入UCS后，您可以将其加入容器舰队并开通集群联邦能力，以进行多集群管理。针对已接入UCS的集群（无论是否加入容器舰队）、未开通集群联邦能力的容器舰队、已开通集群联邦能力的容器舰队，UCS所支持的能力范围有所不同，如表1所示。 表1 容器舰队支持的能力范围 能力 已接入UCS的集群 未开通集群联邦能力的容器舰队 已开通集群联邦能力的容器舰队 集群联邦多集群管理 - - √ 流量分发 √ - - 可观测性 √ √ √ 服务网格 - √ √ 云原生服务中心 √ - - 策略中心 √ √ √ 配置管理 √ - - 流水线 - - √ 权限管理 √ √ √