Alauda Container Platform
  • 简体中文

    • 导入华为云 CCE 集群(公有云)

    将已有的 CCE(Cloud Container Engine)集群(公有云)导入平台,实现统一管理。

    目录

    前提条件获取镜像仓库地址判断镜像仓库是否需要额外配置获取集群信息获取导入集群令牌导入集群网络配置后续操作Ingress(入站规则)及存储初始化FAQ导入集群后,添加节点按钮灰显,如何添加节点?证书管理功能支持导入集群哪些证书?导入的华为云 CCE 集群还不支持哪些功能?

    前提条件

    • 集群上的 Kubernetes 版本及参数符合标准 Kubernetes 集群组件版本及参数要求

    • 确保集群类型为华为云 CCE 集群,且账号拥有维护控制平面的权限。目前不支持 Turbo 集群。

    • 华为云 CCE 集群创建后默认无法访问外部网络资源。导入集群前,请确保待导入集群能够访问平台访问地址。

    获取镜像仓库地址

    • 若使用来自 global 集群部署的平台部署镜像仓库,请在global 集群的控制节点执行以下命令获取地址:

      if [ "$(kubectl get productbase -o jsonpath='{.items[].spec.registry.preferPlatformURL}')" = 'false' ]; then
    REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.registryAddress}')
else
    REGISTRY=$(kubectl get cm -n kube-public global-info -o jsonpath='{.data.platformURL}' | awk -F \// '{print $NF}')
fi
echo "Image registry address is: $REGISTRY"

    • 若使用外部镜像仓库,请手动设置 REGISTRY 变量。

      REGISTRY=<external image registry address>  # 有效示例:registry.example.cn:60080 或 192.168.134.43
echo "Image registry address is: $REGISTRY"

    判断镜像仓库是否需要额外配置

    1. 执行以下命令判断指定镜像仓库是否支持 HTTPS 访问且使用受信任 CA 机构颁发的证书:

      REGISTRY=<从“获取镜像仓库地址”部分获得的镜像仓库地址>

if curl -s -o /dev/null --retry 3 --retry-delay 5 -- "https://${REGISTRY}/v2/"; then
    echo '测试通过:镜像仓库使用受信任 CA 机构颁发的证书,无需执行“信任不安全镜像仓库”部分内容。'
else
    echo '测试失败:镜像仓库不支持 HTTPS 或证书不受信任,请参考“信任不安全镜像仓库”部分进行配置。'
fi

    2. 若测试失败,请参考 FAQ 如何信任不安全的镜像仓库?

    获取集群信息

    1. 确保与华为云控制台的网络连通。

    2. 访问 Cloud Container Engine CCE 功能的集群管理页面;找到待导入集群,点击集群名称进入详情页。

    3. 如下图所示,依次导航找到下载 KubeConfig 文件按钮:集群信息 - 连接信息 - kubectl - 配置,下载 KubeConfig 文件。

    获取导入集群令牌

    公有云集群的 KubeConfig 文件不能直接用于集群导入。

    请参考 FAQ 如何获取集群信息? 获取导入集群令牌。

    导入集群

    1. 在左侧导航栏点击 集群管理 > 集群

    2. 点击 导入集群

    3. 按照以下说明配置 Image Registry 相关参数。

      参数说明
      Image Registry存储集群所需平台组件镜像的仓库。
      - 平台默认:global 集群部署时配置的镜像仓库。
      - 私有仓库:预构建的仓库存储平台所需组件。需填写访问镜像仓库的私有镜像仓库地址端口用户名密码
      - 公共仓库:使用位于公网的镜像仓库服务。使用前需先参考更新公共镜像仓库云凭证获取仓库认证权限。
      集群信息提示:请上传 KubeConfig 文件,由平台自动解析并填写。

      集群地址:导入集群暴露的 API Server 访问地址,用于平台访问导入集群的 API Server。

      CA 证书:导入集群的 CA 证书。

      认证方式:导入集群的认证方式,需使用前面步骤创建的具有集群管理权限token进行认证。

    4. 点击 解析 KubeConfig 文件 按钮,提交上一步下载的 KubeConfig 文件,平台将自动解析并填写 集群信息 相关参数。

    5. 点击 检查连通性,检测与导入集群的网络连通性,并自动识别导入集群类型。集群类型会以徽章形式显示在表单右上角。

    6. 连通性检测通过后,点击 导入 并确认。

      提示

      • 点击处于 导入中 状态的集群右侧的 图标,可在弹出的 执行进度 对话框中查看集群执行进度(status.conditions)。
      • 集群导入成功后,可在集群列表查看集群关键信息。集群状态显示正常,且可进行集群相关操作。

    网络配置

    为确保 global 集群与导入集群间的网络连通,需参考导入集群网络配置

    后续操作

    Ingress(入站规则)及存储初始化

    导入集群后,如需使用 Ingress(入站规则)及存储相关功能,请参考华为云 CCE 集群 Ingress 初始化配置华为云 CCE 集群存储初始化配置

    FAQ

    导入集群后,添加节点按钮灰显,如何添加节点?

    平台界面不支持添加节点。请联系集群提供方添加节点。

    证书管理功能支持导入集群哪些证书?

    1. Kubernetes 证书:所有导入集群仅支持在平台证书管理界面查看 APIServer 证书信息。不支持查看其他 Kubernetes 证书及自动轮换。

    2. 平台组件证书:所有导入集群可在平台证书管理界面查看平台组件证书信息,支持自动轮换。

    导入的华为云 CCE 集群还不支持哪些功能?

    • 不支持审计数据获取。

    • 不支持 ETCD、Scheduler 和 Controller Manager 相关监控信息。支持 APIServer 部分监控图表。

    • 不支持获取除 Kubernetes APIServer 证书外的集群证书相关信息。