华为云用户手册

约束限制 规则的嵌套审核仅支持四种详情可参见表1。 With as只考虑SELECT语句。 别名不能和实体表重名，且别名之间不能重名。 暂不支持视图中的表审核。 不支持对数据库系统表及视图审核。 不支持输入的语句， 语句中涉及的表结构，阈值中含有“#”或“/*”的SQL 审核。 表1 支持的嵌套审核语句 序号 SQL语句 1 select id, (select 子查询) as name from table; 2 select id from table where id in (select 子查询); 3 select * from table1,(select 子查询); 4 with e as (select 子查询) select * from e;

约束限制 规则的嵌套审核仅支持以下四种“select list |from|where |with xx as”，详情可参见表1。 别名不能和实体表重名，且别名之间不能重名。 暂不支持视图中的表审核。 不支持对数据库系统表及视图审核。 不支持语句中含有“#”或“/*”的SQL 审核。涉及点（依赖表结构、语句、阈值等）。 文件审核中和审核完成后，不可点击“重试”按钮。 如果使用系统模板进行审核时，新版本升级结束后，再次重试或者同文件审核，会导致审核结果不一致。为避免此现象发生，建议使用自定义模板。 SQL审核最大可以创建110个审核任务，同一时间段内，最多支持10个审核任务并发执行。

软件要求 表1说明了UGO服务支持的源端与目标端的数据库类型及版本。 表1 数据库类型及版本 源数据库引擎 源数据库版本 目标数据库类型和版本 Oracle 10g、11g、12c、18c、19c、21c版本 RDS for MySQL 5.7版本 RDS for PostgreSQL 11、12、13、14 GaussDB(for MySQL) 8.0版本 GaussDB主备版 2.7 企业版、3.1 企业版、3.2 企业版 、3.3 企业版、8.0企业版、8.100 企业版 GaussDB分布式版 2.7 企业版、3.2 企业版 、3.3企业版、8.0企业版、8.100 企业版 MySQL 5.5、5.6、5.7、8.0版本 GaussDB主备版 2.7 企业版、3.1 企业版、3.2 企业版 、8.0企业版、 8.100 企业版 GaussDB主备版（M兼容） 8.100 企业版、8.200 企业版 GaussDB分布式版 2.7 企业版、3.2 企业版 、8.0企业版、 8.100 企业版 PostgreSQL 说明： 目前仅支持白名单用户使用。 10、11、12、13、14、15版本 GaussDB主备版 3.1 企业版、3.2 企业版、 8.0 企业版 GaussDB分布式版 3.2 企业版、 8.0 企业版 GoldenDB 说明： 目前仅支持白名单用户使用。 - GaussDB主备版 8.0企业版 GaussDB分布式版 8.0企业版 Microsoft SQL Server 说明： 目前仅支持白名单用户使用。 2012版本、2014版本、2016版本、2017版本、2019版本 GaussDB主备版 3.1 企业版、3.2 企业版、 8.0 企业版 GaussDB分布式版 3.2 企业版、 8.0 企业版 GaussDB(for MySQL) 8.0版本 GaussDB 主备版-2.7 企业版包括GaussDB 主备版-2.1 企业版/2.2 企业版/2.7 企业版。 GaussDB 分布式版-2.7 企业版包括GaussDB 分布式版-2.1 企业版/2.2 企业版/2.7 企业版。

数据合规处理说明 UGO在完成其功能的过程中需要接触您的数据，包括数据库连接相关信息和源数据库结构信息，具体包括： 数据库连接相关信息：数据库IP、端口、数据库用户名、密码、SSL认证证书及证书密码等。 源数据库结构信息：UGO仅会访问和获取您的源库结构信息，不会获取源库表数据，这些结构信息会如实地反映到操作界面中。 这些信息是完成业务功能所必须的信息，UGO会对上述信息采取认证鉴权、加密存储、内部数据隔离等安全措施，保障数据安全。另外，请依据您所在组织的数据安全策略，完成迁移后及时删除相关项目，UGO会在您触发项目删除后删除和该项目相关的数据。

修订记录 发布日期 修订说明 2024-05-30 支持的数据库类型和版本：Oracle为源时，目标数据库下线RDS for PostgreSQL增强版。 2024-03-30 支持的数据库类型和版本：MySQL和Oracle为源时，目标库数据库新增GaussDB 8.100 （M兼容）版本。 2024-03-01 支持的数据库类型和版本：MySQL和Oracle为源时，目标库数据库新增GaussDB 8.100版本。 2023-12-30 支持的数据库类型和版本：删除目标库为GaussDB 1.4 2.0 企业版。 2023-11-30 支持的数据库类型和版本：Oracle为源时，源数据库新增Oracle10g和21c 版本。 支持的数据库类型和版本：MySQl为源时，新增MySQL 5.6版本为源库GaussDB 分布式2.7企业版目标库的链路。 支持的数据库类型和版本：开放Microsoft SQL Server为源库链路，该链路仅限白名单用户。 2023-10-30 支持的数据库类型和版本：新增链路 GoldenDB到GaussDB主备，该链路仅限白名单用户。 2023-09-30 支持的数据库类型和版本：Oracle为源时，目标库新增GaussDB-3.3 企业版链路，该链路仅限白名单用户。 2023-08-30 删除目标库选型和规格推荐 支持的数据库类型和版本：Oracle和MySQL为源时，目标库新增GaussDB-8.0 企业版链路，该链路仅限白名单用户。 约束与限制：反引号和空白字符的对象不支持采集解析、评估、转换、迁移。 2023-03-30 全文：GaussDB名称和版本号适配华为云现网。 支持的数据库类型和版本：Oracle和MySQL为源时，目标库新增GaussDB-3.2 企业版链路，该链路仅限白名单用户。 支持的数据库类型和版本：新增PostgreSQL-10/13/14/15版本为源库，GaussDB-3.2 企业版为目标库链路。该链路仅限白名单用户使用。 2023-02-28 支持的数据库类型和版本：Oracle为源时，目标库新增RDS for PostgreSQL-12/13/14链路。 支持的数据库类型和版本：新增PostgreSQL-11/12版本为源库，GaussDB主备版-3.1 企业版为目标库的链路。 2023-01-30 支持的数据库类型和版本：MySQL为源时，目标库新增GaussDB-3.1 企业版主备版链路。 支持的数据库类型和版本：新增Oracle-10g为源库，RDS for PostgreSQL-11为目标库的链路。 支持的数据库类型和版本：开放MySQL为源库链路，不再需要开通白名单。 2022-12-30 支持的数据库类型和版本：源数据库新增MySQL-5.6链路，该链路仅限白名单用户。 支持的数据库类型和版本：目标库GaussDB-2.3 企业版改名为GaussDB-2.7 企业版。 产品功能：源数据库画像中不再展示TPS、QPS、表复杂度等数据信息内容。 2022-11-30 支持的数据库类型和版本：目标库新增GaussDB Primary/Standby - 3.1 企业版链路。 2022-10-30 支持的数据库类型和版本：新增MySQL到GaussDB Primary/Standby-2.3 企业版链路。 2022-09-30 支持的数据库类型和版本：新增约束限制。 支持的数据库类型和版本：更新云数据库 GaussDB版本号。 2022-07-30 支持的数据库类型和版本：新增MySQL-8.0为源库；GaussDB Distributed - 2.7.T0710、Primary/Standby - 2.7.T0710和Primary/Standby - 2021为目标库。 2022-06-30 支持的数据库类型和版本：新增DB2 for LUW和MySQL为源库。 2022-03-30 首版本商用。 修改：支持的数据库类型和版本目标数据库改名。 2022-02-28 修改：权限管理自定义权限部分。 2022-01-30 修改： 什么是UGO？部分描述。 产品优势部分描述。 2021-12-31 新增：图解UGO 2021-10-30 新增：合规说明。 删除：权限管理章节，删除个人数据使用说明。 2021-08-30 新增：个人数据使用说明。 2021-07-31 更新什么是UGO？。 2021-06-30 发布公测版本。

操作步骤 下载image-syncer，解压并运行工具。 以v1.3.1版本为例，您也可以选择其他版本。 wget https://github.com/AliyunContainerService/image-syncer/releases/download/v1.3.1/image-syncer-v1.3.1-linux-amd64.tar.gz tar -zvxf image-syncer-v1.3.1-linux-amd64.tar.gz 创建镜像仓库的认证信息文件auth.json。 image-syncer支持基于Docker Registry V2搭建的docker镜像仓库，按格式填写即可。将源仓库及目标仓库认证信息写入，示例如下。 { "swr.××××.myhuaweicloud.com": { "username": "××××@F1I3Q……", "password": "2fd4c869ea0……" }, "swr.××××.myhuaweicloud.com": { "username": "××××@4N3FA……", "password": "f1c82b57855f9d35……" } } 其中swr.××××.myhuaweicloud.com为镜像仓库地址，username、password可以在登录命令中获取，获取方法如下： 登录SWR控制台，在总览页面右上角单击“登录指令”，在弹出的窗口中获取登录指令，如下图所示。 图1 登录指令 因安全性要求，以上示例中所有username和password均有部分内容进行省略，请以控制台获取到的实际用户名和密码为准。 创建同步镜像描述文件images.json。 如下示例，左边是源仓库的地址，右边是目的仓库地址。image-syncer还支持其他描述方式，具体请参见README-zh_CN.md。 { "swr.cn-north-4.myhuaweicloud.com/org-ss/canary-consumer": "swr.cn-east-3.myhuaweicloud.com/dev-container/canary-consumer" } 执行如下命令将镜像迁移至SWR。 ./image-syncer --auth=./auth.json --images=./images.json --namespace=dev-container --registry=swr.cn-east-3.myhuaweicloud.com --retries=3 --log=./log 表1 命令行参数说明 参数 说明 --config 设置用户提供的配置文件路径，使用之前需要创建此文件，默认为当前工作目录下的config.json文件。这个参数与 --auth和--images 的作用相同，分解成两个参数可以更好地区分认证信息与镜像仓库同步规则。建议使用 --auth 和 --images。 --images 设置用户提供的镜像同步规则文件所在路径，使用之前需要创建此文件，默认为当前工作目录下的images.json文件。 --auth 设置用户提供的认证文件所在路径，使用之前需要创建此认证文件，默认为当前工作目录下的auth.json文件。 --log 打印出来的log文件路径，默认打印到标准错误输出，如果将日志打印到文件将不会有命令行输出，此时需要通过cat对应的日志文件查看。 --namespace 设置默认的目标namespace，当配置文件内一条images规则的目标仓库为空，并且默认registry也不为空时有效，可以通过环境变量DEFAULT_NAMESPACE设置，同时传入命令行参数会优先使用命令行参数值。 --proc 并发数，进行镜像同步的并发goroutine数量，默认为5。 --retries 失败同步任务的重试次数，默认为2，重试会在所有任务都被执行一遍之后开始，并且也会重新尝试对应次数生成失败任务的生成。一些偶尔出现的网络错误比如io timeout、TLS handshake timeout，都可以通过设置重试次数来减少失败的任务数量。 --registry 设置默认的目标registry，当配置文件内一条images规则的目标仓库为空，并且默认namespace也不为空时有效，可以通过环境变量DEFAULT_REGISTRY设置，同时传入命令行参数会优先使用命令行参数值。 迁移命令执行后，可登录目标镜像仓库，查看已迁移的镜像。

操作步骤 购买一个CCE集群。 登录CCE控制台 在购买CCE集群页面配置集群参数，详细请参考创建集群参数配置。 等待集群创建成功。创建成功后在集群管理下会显示一个运行中的集群，且集群节点数量为0。 创建CCE节点。 集群创建成功后，您还需要在集群中创建运行工作负载的节点。CCE节点默认安装了Linux操作系统和Docker。我们可以用它创建基础镜像。 在下面的步骤中，我们将以Centos7.6为例，详细介绍如何创建JDK8基础镜像，并将它上传到SWR。 登录CCE控制台。 单击1中创建的集群，进入集群控制台。 在左侧菜单栏选择节点管理，进入节点页签，单击右上角“创建节点”，在弹框中配置节点的参数。 在网络配置中，选择“自动创建”1个弹性公网IP，带宽为5Mbit/s。 图1 网络配置 单击“下一步: 规格确认”。 查看节点规格无误后，阅读页面上的使用说明，勾选“我已阅读并知晓上述使用说明和《云容器引擎服务声明》”，单击“提交”。 等待节点创建成功。创建成功后在节点管理下会显示一个运行中的节点。 图2 CCE节点示例 下载JDK软件包。 节点创建成功后，单击节点名称，进入云服务器详情页。 在云服务器详情页，单击右上角“远程登录”。 选择一种登录方式，单击“登录”。 以root用户登录弹性云服务器。 新建一个目录image。 mkdir image 进入image目录。 cd image 下载JDK软件包。 wget https://builds.openlogic.com/downloadJDK/openlogic-openjdk/8u352-b08/openlogic-openjdk-8u352-b08-linux-x64.tar.gz 构建一个镜像。 执行vi dockerfile命令，编写一个Dockerfile，并写入以下信息： FROM centos #使用centos作为基础镜像 RUN useradd -d /home/springboot -m springboot #在工作目录下创建一个用户 ADD ./openlogic-openjdk-8u352-b08-linux-x64.tar.gz /home/springboot #拷贝jdk软件包到镜像，并自动解压 RUN chown springboot:springboot /home/springboot/openlogic-openjdk-8u352-b08-linux-x64 -R USER springboot #指定用户为springboot ENV JAVA_HOME=/home/springboot/openlogic-openjdk-8u352-b08-linux-x64 #设置环境变量 ENV PATH=$JAVA_HOME/bin:$PATH \ CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar WORKDIR /home/springboot/ #指定镜像的工作目录 以上仅为示例，如果您想详细了解Dockerfile的详细使用帮助，请查看Dockerfile reference。 按ESC,输入:wq,保存Dockerfile，并退出编辑。 执行下面的命令，构建一个镜像。 docker build -t openjdk:8 . 使用docker images命令，查看镜像是否构建成功。 图3 查看镜像是否创建成功 登录容器镜像服务控制台，并创建一个组织。 示例：这里我们创建一个名为testawa0306的组织。 上传镜像到5的组织下。 以root用户登录容器镜像服务控制台。 为镜像打标签。 示例如下：docker tag openjdk:8 swr.cn-north-4.myhuaweicloud.com/testawa0306/0penjdk:v8.8 上传镜像到步骤5的组织下。 docker push swr.cn-north-4.myhuaweicloud.com/testawa0306/0penjdk:v8.8 镜像上传成功后，我们可以在容器镜像服务控制台-“我的镜像”中找到刚刚上传成功的镜像。 (可选）镜像上传成功后，你可以使用已上传的镜像在CCE中部署工作负载。

配置通过VPCEP访问SWR 通过VPCEP访问SWR用户场景可分为以下两种： 场景一（推荐）：仅允许业务VPC内虚拟机下载镜像，禁止上传镜像。请参考配置VPCEP仅允许从SWR下载镜像进行配置。 场景二：允许业务VPC内虚拟机上传下载镜像。请参考配置VPCEP从SWR上传下载镜像进行配置。 配置VPCEP仅允许从SWR下载镜像 配置VPCEP从SWR上传下载镜像 验证是否已经切换到VPCEP访问SWR 父主题： 配置访问网络

旧版ASM与新版ASM区别 对于同一个网格，建议不要在旧版ASM页面和新版ASM页面交替使用，因为会有一些数据兼容性问题。 旧版ASM与新版ASM的区别如下： Sidecar注入方式不同。旧版ASM创建的网格没有开启Sidecar的命名空间注入，新版ASM创建的网格开启了Sidecar的命名空间注入，命名空间注入详见：https://istio.io/latest/docs/setup/additional-setup/sidecar-injection/。 Istio资源格式不同。旧版ASM创建的网格和新版ASM创建的网格管理的Istio资源（VirtualService和DestinationRule）格式不同。 灰度发布功能不兼容。例如：在新版ASM加入网格的服务不支持在旧版ASM进行灰度发布；在新版ASM创建的灰度发布任务无法在旧版ASM显示。 流量治理功能不兼容。例如：新版ASM配置的流量治理无法在旧版ASM页面显示或配置。

集群数据面组件说明 当前支持收集以下两种类型的控制面日志，每个日志流对应一个Kubernetes控制层面组件。关于这些组件的更多信息，请参见Kubernetes组件。 表1 集群控制面组件说明 类别 组件 日志流 说明 数据面组件日志 default-stdout stdout-{clusterID} 采集标准输出。默认日志组：k8s-logs-{集群ID}。 default-event event-{clusterID} 采集Kubernetes事件。默认日志组：k8s-logs-{集群ID}。

使用云原生日志采集插件采集日志 查看并配置日志采集策略。 登录容器舰队控制台，单击集群名称进入集群，选择左侧导航栏的“日志中心”。 右上角单击“日志采集策略”，将显示当前集群所有上报LTS的日志策略。 图1 查看日志策略 若安装插件时勾选了采集标准输出和采集Kubernetes事件，将创建两个日志策略，并对接默认的LTS日志组、日志流。 创建日志策略：单击上方“创建日志策略”，输入要采集的配置信息。 策略模板：若安装插件时未勾选需要采集的日志策略，或者删除了对应的日志策略，可通过该方式重新创建默认日志策略。 图2 使用策略模板 自定义策略：用于配置自定义日志策略。 图3 自定义策略 表2 自定义策略参数说明 参数 说明 日志类型 指定采集哪类日志。 容器标准输出：用于采集容器标准输出，可以按命名空间、工作负载名称、实例标签配置采集策略。 容器文件路径：用于采集容器内的日志，可以按工作负载和实例标签配置采集策略。 节点文件路径：用于采集节点上的日志文件，一条日志策略只能配置一个文件路径。 日志源 采集哪些容器的日志。 所有容器：可以指定采集某个命名空间的所有容器，如不指定则采集所有命名空间的容器。 指定工作负载：指定采集哪些工作负载容器的日志，可以指定采集工作负载中具体容器的日志，如不指定则采集所有容器的日志。 指定实例标签：根据标签指定采集哪些工作负载容器的日志，可以指定采集工作负载中具体容器的日志，如不指定则采集所有容器的日志。 路径配置 用于配置需要采集的日志路径。 文件路径必须以/ 开头，只能包含大写字母、小写字母、数字或特殊字符-_/*?，且长度不能超过512个字符。 文件名称只能包含大写字母、小写字母、数字或特殊字符-_*?.。 日志文件夹：请填写绝对路径。日志文件名：不支持.gz、.tar、.zip后缀类型。 最多有三级目录采用通配符匹配，且第一级目录不能使用通配符。 目录名和文件名支持完整名称和通配符模式，通配符只支持星号（*）和半角问号（?）。 星号（*）表示匹配多个任意字符。半角问号（?）表示匹配单个任意字符。例如： 日志路径为/var/logs/* 文件名*.log，表示/var/logs下所有目录中后缀名为.log的文件。 日志路径为 /var/logs/app_* 文件名*.log，表示/var/logs目录下所有符合app_*格式的目录中后缀名为.log的文件。 如果业务容器的数据目录是通过数据卷（Volume）挂载的，插件不支持采集它的父目录，需设置采集目录为完整的数据目录。例如/var/log/service目录是数据卷挂载的路径，则设置采集目录为/var/log或/var/log/*将采集不到该目录下的日志，需设置采集目录为/var/log/service。 日志格式 单行文本 每条日志仅包含一行文本，以换行符 \n 作为各条日志的分界线。 多行文本 有些程序打印的日志存在一条完整的日志数据跨占多行（例如 Java 程序日志）情况，日志采集系统默认是按行采集。如果您想在日志采集系统中按整条显示日志，可以开启多行文本，采用首行正则的方式进行匹配，当选择多行文本时，需填写日志匹配格式。 例如： 需采集的日志格式如下，则需填写时间的正则匹配，在日志匹配格式处填写：\d{4}-\d{2}-\d{2} \d{2}\:\d{2}\:\d{2}.* 则下面以日期开头三行日志会作为一条完整日志。 2022-01-01 00:00:00 Exception in thread "main" java.lang.RuntimeException: Something has gone wrong, aborting! at com.myproject.module.MyProject.badMethod(MyProject.java:22) at com.myproject.module.MyProject.oneMoreMethod(MyProject.java:18) 上报到云日志服务(LTS) 用于配置日志上报的日志组和日志流。 使用默认日志组/日志流：将为您自动选择默认日志组（k8s-log-{集群ID}）和默认的日志流（stdout-{集群ID}）。 自定义日志组/日志流：可在下拉框选择任意日志组和日志流。 日志组 日志组是云日志服务进行日志管理的基本单位。如果您未创建日志组，CCE会提示您进行创建，默认名称为k8s-log-{集群ID}，如 k8s-log-bb7eaa87-07dd-11ed-ab6c-0255ac1001b3。 日志流 日志流（LogStream）：日志流是日志读写的基本单位，日志组中可以创建日志流，将不同类型的日志分类存储，方便对日志进一步分类管理。在安装插件或者根据模板创建日志策略时，会自动创建以下日志流： 容器日志：默认名称为stdout-{集群ID}，如 stdout-bb7eaa87-07dd-11ed-ab6c-0255ac1001b3 k8s事件：默认名称为event-{集群ID}，如 event-bb7eaa87-07dd-11ed-ab6c-0255ac1001b3 编辑日志策略：单击“编辑”按钮，可对已经存在的日志策略进行修改。 删除日志策略：单击“删除”按钮，可对已经存在的日志策略进行删除。 查看日志。 登录容器舰队控制台，单击集群名称进入集群，选择左侧导航栏的“日志中心”。 日志中心下有5个页签，支持不同类型日志查看。 容器日志：显示默认日志组（k8s-log-{集群ID}）下默认日志流（stdout-{集群ID}）中的所有日志数据，华为云集群支持通过工作负载搜索。 图4 容器日志查询 Kubernetes事件：显示默认日志组（k8s-log-{集群ID}）下默认日志流（event-{集群ID}）中的所有日志数据，用于查询集群产生的Kubernetes事件。 控制面组件日志：显示默认日志组（k8s-log-{集群ID}）下默认日志流（{组件名}-{集群ID}）中的所有日志数据，用于查看集群控制面重要组件的日志信息。 控制面审计日志：显示默认日志组（k8s-log-{集群ID}）下默认日志流audit-{集群ID}）中的所有日志数据，用于查看集群控制面审计日志信息。 全局日志查询：支持查看所有日志组日志流下的日志信息。可通过选择日志流查看所选日志流中的日志信息，默认会选择集群默认日志组（k8s-log-{集群ID}），可通过单击切换日志组右侧的图标切换其他日志组。 图5 全局日志查询 单击右上角“日志采集策略”，单击“查看日志”，可以直接跳转至对应日志策略的日志列表。 图6 查看日志

注销舰队中的集群 登录UCS控制台，在左侧导航栏中单击“容器舰队”。 在“容器舰队”页签下单击舰队名称，进入舰队详情页。 在左侧导航栏中选择“容器集群”，在目标集群栏中，单击右上角的按钮。 弹出“注销集群”对话框，仔细阅读注意事项，确认风险后单击“确定”。 （可选）对于附着集群来说，注销集群成功后，还需前往目标集群卸载代理组件。 kubectl -n kube-system delete deployments/proxy-agent secret/proxy-agent-cert （可选）对于本地集群来说，注销集群成功后，您可以手动执行卸载命令，在本地主机环境中删除集群，清理资源： ./ucs-ctl delete cluster [集群名称] 如果命令执行失败，请参考如何手动清理本地集群节点？处理。

关联权限 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 在目标舰队栏中，单击右上角的按钮。 图4 为舰队关联权限 在弹出的页面单击“修改容器舰队权限”或“关联权限”，打开修改权限页面，将已创建好的权限和舰队的命名空间关联起来。 图5 修改权限 命名空间：支持“全部命名空间”和“指定命名空间”。全部命名空间包括当前舰队已有的命名空间和舰队后续新增的命名空间；“指定命名空间”即表示您自己选择命名空间的范围，UCS服务提供了几个常见的命名空间供您选择（如default、kube-system、kube-public），您也可以新增命名空间，但要自行确保新增的命名空间在集群中存在。 请注意，选择的命名空间仅对权限中命名空间级资源生效，不影响权限中的集群资源。关于命名空间级和集群级资源的介绍，请参见Kubernetes资源对象章节。 关联权限：从下拉列表中选择权限，支持一次性选择多个权限，以达到批量授权的目的。 如果针对不同命名空间，关联的权限不同（例如：为default命名空间关联readonly权限，为development命名空间关联develop权限），可以单击按钮添加多组授权关系。 单击“确定”，完成权限的关联。 如果后续需要修改舰队的权限，采用同样的方法，重新选择命名空间和权限即可。

创建舰队 登录UCS控制台，在左侧导航栏中选择“容器舰队”，在“容器舰队”页签下单击“创建容器舰队”。 填写舰队信息。 图1 创建容器舰队 舰队名称：自定义舰队的名称，需以小写字母开头，由小写字母、数字、中划线（-）组成，且不能以中划线（-）结尾。 添加集群：列表中显示当前未加入舰队的集群，可以在创建舰队时添加集群，也可以在舰队创建完成后添加。如不选择任何集群，则会创建一个空的舰队，完成创建后请参考添加集群。 描述：添加舰队的描述信息。 集群加入容器舰队后，将获得所选容器舰队的权限，失去原有权限。 单击“确定”，创建舰队。

添加集群 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 在目标舰队栏中单击“添加集群”，或单击右上角的按钮。 您也可以单击舰队名称进入舰队详情页，在“容器集群”页面单击右上角“添加集群”。 图2 为舰队添加集群 勾选一个或多个已有集群。一个集群只能加入一个舰队，因此列表中显示的集群均为未加入舰队的集群。 图3 添加集群 集群加入容器舰队，将拥有所选容器舰队的权限，但会失去原有赋予的权限。 如果该舰队开通了集群联邦，集群会自动接入集群联邦。关于集群联邦的介绍，请参见开通集群联邦章节。 单击“确定”，完成集群添加。

创建守护进程集 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 在“容器舰队”页签下找到已开通集群联邦的舰队，单击名称进入详情页。 在左侧导航栏中选择“工作负载”，切换至“守护进程集”页签，并单击右上角“镜像创建”。 若使用已有的YAML创建工作负载，请单击右上角“YAML创建”。 设置工作负载基本信息。 负载类型：选择“守护进程集”。 负载名称：新增工作负载的名称，命名必须唯一。 命名空间：选择工作负载所在命名空间。如需新建命名空间，请参见创建命名空间。 描述：工作负载的描述信息。 设置工作负载容器配置。 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器并分别进行设置。 图1 容器配置 基本信息： 表1 基本信息参数说明 参数 说明 容器名称 为容器命名。 镜像名称 单击后方“选择镜像”，选择容器使用的镜像。 我的镜像：当前区域下华为云镜像仓库中的镜像。若无可用的镜像，可单击“上传镜像”进行上传。 镜像中心：开源镜像仓库中的官方镜像。 共享镜像：由他人账号共享的私有镜像，详情请参见共享私有镜像。 镜像版本 选择需要部署的镜像版本。 更新策略 镜像更新/拉取策略。勾选“总是拉取镜像”表示每次都从镜像仓库拉取镜像；如不勾选则优先使用节点已有的镜像，如果没有这个镜像再从镜像仓库拉取。 CPU配额 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 关于CPU/内存配额申请和限制的具体说明请参见设置容器规格。 初始化容器 选择容器是否作为初始化容器。 Init 容器是一种特殊容器，在 Pod 内的应用容器启动之前运行。详细说明请参见Init 容器。 生命周期：设置生命周期回调函数可在容器的特定阶段执行调用，比如容器在停止前希望执行某项操作，就可以设置相应的函数。目前提供的生命周期回调函数有启动命令、启动后处理、停止前处理，详情请参见设置容器生命周期。 健康检查：设置健康检查可以在容器运行过程中定时检查容器的健康状况，详情请参见设置容器健康检查。 环境变量：容器运行环境中设定的一个变量，通过环境变量设置的配置项不会随着Pod生命周期结束而变化，详情请参见设置环境变量。 数据存储：配置容器存储，可以使用本地存储和存储卷声明（PVC）。建议使用PVC将工作负载Pod数据存储在云存储上。若存储在本地磁盘上，节点异常无法恢复时，本地磁盘中的数据也将无法恢复。容器存储相关内容请参见容器存储。 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 镜像访问凭证：用于访问镜像仓库的凭证。该凭证仅访问私有镜像仓库时使用，如所选镜像为公开镜像，则无需选择密钥。密钥的创建方法请参见创建密钥。 （可选）单击服务配置栏的，进行工作负载服务配置。 若工作负载需要和其它服务互访，或需要被公网访问，您需要添加服务（Service），设置访问方式。工作负载访问的方式决定了这个工作负载的网络属性，不同访问方式的工作负载可以提供不同网络能力，操作详情请参见服务与路由。 您也可以在创建完工作负载之后再创建Service，参见集群内访问（ClusterIP）和节点访问（NodePort）。 Service名称：新增服务名称，用户可自定义，服务名称必须唯一。 访问类型： 集群内访问（ClusterIP）：只能集群内访问服务。 节点访问（NodePort）：可以通过集群内任意节点访问到服务。 服务亲和（仅节点访问设置）： 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： 协议：TCP或UDP，请根据业务的协议类型选择。 服务端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问应用时使用，端口范围为1-65535，可任意指定。 容器端口：容器镜像中应用程序实际监听的端口，需用户确定。例如：nginx程序实际监听的端口为80。 节点端口（仅节点访问设置）：容器端口映射到节点私有IP上的端口，用私有IP访问应用时使用，端口范围为30000-32767，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为30000-32767。若指定端口时，请确保同个集群内的端口唯一性。 （可选）单击“展开高级配置”，设置工作负载高级配置。 升级策略：指定守护进程集的升级方式，包括整体替换升级和逐步滚动升级，详细参数说明请参见配置工作负载升级策略。 滚动升级：滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新的和旧的实例上，因此业务不会中断。 替换升级：守护进程集的替换升级，需要手动删除旧实例，再创建新实例。升级过程中业务会中断。 调度策略：您可设置亲和（affinity）与反亲和（anti-affinity）实现Pod的计划性调度，详细信息请参见配置调度策略（亲和与反亲和）。 标签与注解：您可以单击“添加”为Pod增加标签或注解，新增标签或注解的键不能与已有的重复。 单击“下一步：调度与差异化”，对选择的集群进行调度与差异化配置。在选择可调度集群后，可对容器进行“差异化配置”。 调度策略： 调度方式： 复制分发：工作负载将在勾选的所有集群中进行部署。 部署集群：单击集群即可将其勾选为工作负载可调度的集群，集群个数请您根据自身业务进行确定。 差异化配置： 工作负载在不同的集群中部署可进行差异化的配置。在选择可调度集群后单击对应集群右上角，即可对每个集群进行差异化配置，差异化后的容器配置只对该集群生效。 具体参数说明请参见容器配置。 设置完成后，单击“创建工作负载”完成创建。

Kubernetes事件上报云日志服务（LTS） 集群未安装云原生日志采集插件 安装云原生日志采集插件时，可通过勾选采集Kubernetes事件，创建默认日志采集策略，采集所有事件上报到LTS。安装方法见：收集数据面日志 集群已安装云原生日志采集插件 登录云容器引擎（CCE）控制台，单击集群名称进入集群，选择左侧导航栏的“日志管理”。 右上角单击“日志采集策略”，将显示当前集群所有上报LTS的日志策略。 单击上方“创建日志策略”，输入要采集的配置信息。 策略模板：若安装插件时未勾选采集Kubernetes事件，或者删除了对应的日志策略，可通过该方式重新创建默认事件采集策略。 事件查看：可直接在“日志管理”页面查看，选择日志策略配置的日志流名称，即可查看上报到云日志服务（LTS）的事件。

Kubernetes事件上报应用运维管理（AOM） 当华为云集群版本为1.19.16、1.21.11、1.23.9或1.25.4时，安装CCE 云原生日志采集插件后，默认会将上报所有Warning级别事件以及部分Normal级别事件到应用运维管理（AOM），上报的事件可用于配置告警，安装方法见：收集数据面日志 本地集群可在安装插件时开启或关闭该功能。 自定义事件上报 若已上报的事件不能满足需求，可通过修改配置，修改需要上报到应用运维管理（AOM）的事件。 在集群上执行以下命令，编辑当前的事件采集配置。 kubectl edit logconfig -n kube-system default-event-aom 根据需要修改事件采集配置。 apiVersion: logging.openvessel.io/v1 kind: LogConfig metadata: annotations: helm.sh/resource-policy: keep name: default-event-aom namespace: kube-system spec: inputDetail: #采集端配置 type: event #采集端类型，请勿修改 event: normalEvents: #Normal级别事件采集配置 enable: true #是否开启Normal级别事件采集 includeNames: #需要采集的事件名，不指定则采集所有事件 - NotTriggerScaleUp includeNames: #不采集的事件名，不指定则采集所有事件 - NotTriggerScaleUp warningEvents: #Warning级别事件采集配置 enable: true #是否开启Warning级别事件采集 includeNames: #需要采集的事件名，不指定则采集所有事件 - NotTriggerScaleUp includeNames: #不采集的事件名，不指定则采集所有事件 - NotTriggerScaleUp outputDetail: type: AOM #输出端类型，请勿修改 AOM: events: - name: DeleteNodeWithNoServer #事件名，必选 nameCn: 废弃节点清理 #事件对应的中文名，不填则上报的事件直接显示英文 resourceType: Namespace #事件对应的资源类型 severity: Major #事件上报到AOM后的事件级别，默认Major。可选值：Critical：紧急；Major：重要；Minor：次要；Info：提示

创建无状态负载 登录UCS控制台，在左侧导航栏中选择“容器舰队”。 在“容器舰队”页签下找到已开通集群联邦的舰队，单击名称进入详情页。 在左侧导航栏中选择“工作负载”，在“无状态负载”页签中单击右上角“镜像创建”。 若使用已有的YAML创建工作负载，请单击右上角“YAML创建”。 设置工作负载基本信息。 负载类型：选择“无状态负载”。 负载名称：新增工作负载的名称，命名必须唯一。 命名空间：选择工作负载所在命名空间。如需新建命名空间，请参见创建命名空间。 描述：工作负载的描述信息。 实例数量：设置多集群的工作负载中各集群的实例数。用户可以设置具体实例个数，默认为2。每个工作负载实例都由相同的容器部署而成。在UCS中可以通过设置弹性扩缩容策略，根据工作负载资源使用情况，动态调整工作负载实例数。 设置工作负载容器配置。 Pod中可以配置多个容器，您可以单击右侧“添加容器”为Pod配置多个容器并分别进行设置。 图1 容器配置 基本信息： 表1 基本信息参数说明 参数 说明 容器名称 为容器命名。 镜像名称 单击后方“选择镜像”，选择容器使用的镜像。 我的镜像：当前区域下华为云镜像仓库中的镜像。若无可用的镜像，可单击“上传镜像”进行上传。 镜像中心：开源镜像仓库中的官方镜像。 共享镜像：由他人账号共享的私有镜像，详情请参见共享私有镜像。 镜像版本 选择需要部署的镜像版本。 更新策略 镜像更新/拉取策略。勾选“总是拉取镜像”表示每次都从镜像仓库拉取镜像；如不勾选则优先使用节点已有的镜像，如果没有这个镜像再从镜像仓库拉取。 CPU配额 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 关于CPU/内存配额申请和限制的具体说明请参见设置容器规格。 初始化容器 选择容器是否作为初始化容器。 Init 容器是一种特殊容器，在 Pod 内的应用容器启动之前运行。详细说明请参见Init 容器。 生命周期：设置生命周期回调函数可在容器的特定阶段执行调用，比如容器在停止前希望执行某项操作，就可以设置相应的函数。目前提供的生命周期回调函数有启动命令、启动后处理、停止前处理，详情请参见设置容器生命周期。 健康检查：设置健康检查可以在容器运行过程中定时检查容器的健康状况，详情请参见设置容器健康检查。 环境变量：容器运行环境中设定的一个变量，通过环境变量设置的配置项不会随着Pod生命周期结束而变化，详情请参见设置环境变量。 数据存储：配置容器存储，可以使用本地存储和存储卷声明（PVC）。建议使用PVC将工作负载Pod数据存储在云存储上。若存储在本地磁盘上，节点异常无法恢复时，本地磁盘中的数据也将无法恢复。容器存储相关内容请参见容器存储。 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。请输入用户ID，容器将以当前用户权限运行。 镜像访问凭证：用于访问镜像仓库的凭证。该凭证仅访问私有镜像仓库时使用，如所选镜像为公开镜像，则无需选择密钥。密钥的创建方法请参见创建密钥。 （可选）单击服务配置栏的，进行工作负载服务配置。 若工作负载需要和其它服务互访，或需要被公网访问，您需要添加服务（Service），设置访问方式。工作负载访问的方式决定了这个工作负载的网络属性，不同访问方式的工作负载可以提供不同网络能力，操作详情请参见服务与路由。 您也可以在创建完工作负载之后再创建Service，参见集群内访问（ClusterIP）和节点访问（NodePort）。 Service名称：新增服务名称，用户可自定义，服务名称必须唯一。 访问类型： 集群内访问（ClusterIP）：只能集群内访问服务。 节点访问（NodePort）：可以通过集群内任意节点访问到服务。 服务亲和（仅节点访问设置）： 集群级别：集群下所有节点的IP+访问端口均可以访问到此服务关联的负载，服务访问会因路由跳转导致一定性能损失，且无法获取到客户端源IP。 节点级别：只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载，服务访问没有因路由跳转导致的性能损失，且可以获取到客户端源IP。 端口配置： 协议：TCP或UDP，请根据业务的协议类型选择。 服务端口：容器端口映射到集群虚拟IP上的端口，用虚拟IP访问应用时使用，端口范围为1-65535，可任意指定。 容器端口：容器镜像中应用程序实际监听的端口，需用户确定。例如：nginx程序实际监听的端口为80。 节点端口（仅节点访问设置）：容器端口映射到节点私有IP上的端口，用私有IP访问应用时使用，端口范围为30000-32767，建议选择“自动生成”。 自动生成：系统会自动分配端口号。 指定端口：指定固定的节点端口，默认取值范围为30000-32767。若指定端口时，请确保同个集群内的端口唯一性。 （可选）单击“展开高级配置”，设置工作负载高级配置。 升级策略：指定无状态负载的升级方式，包括整体替换升级和逐步滚动升级，详细参数说明请参见配置工作负载升级策略。 滚动升级：滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新的和旧的实例上，因此业务不会中断。 替换升级：先删除旧实例，再创建新实例。升级过程中业务会中断。 调度策略：您可设置亲和（affinity）与反亲和（anti-affinity）实现Pod的计划性调度，详细信息请参见配置调度策略（亲和与反亲和）。 标签与注解：您可以单击“添加”为Pod增加标签或注解，新增标签或注解的键不能与已有的重复。 容忍策略：当工作负载实例所在的节点不可用时，系统将实例重新调度到其它可用节点的时间窗，默认为300秒。 单击“下一步：调度与差异化”，对选择的集群进行调度与差异化配置。在选择可调度集群后，可对容器进行“差异化配置”。 集群调度策略： 调度方式： 集群权重：手动设置各集群的权重，工作负载在各集群的实例数将根据设置的权重比例进行分配。 自动均衡：工作负载将根据资源余量在可调度的集群中自动选择集群进行部署。 部署集群：选择工作负载可调度的集群，集群个数请您根据自身业务进行确定。 “集群权重”模式下，需手动设置各集群权重值，权重非0的集群将自动勾选为可调度集群，权重为0则表示该集群不可调度。状态非正常的集群无法设置权重。 “自动均衡”模式下，单击集群即可将其勾选为可调度集群。 差异化配置： 工作负载在不同的集群中部署可进行差异化的配置。在选择可调度集群后单击对应集群右上角，即可对每个集群进行差异化配置，差异化后的容器配置只对该集群生效。 具体参数说明请参见容器配置。 设置完成后，单击“创建工作负载”，完成创建后，可单击“返回工作负载列表”查看所创建的工作负载。

组件说明 表4 log-agent组件 容器组件 说明 资源类型 fluent-bit 轻量级的日志收集器和转发器，部署在每个节点上采集日志。 DaemonSet cop-logs 负责生成采集文件的软链接，和fluent-bit运行在同一Pod。 DaemonSet log-operator 负责生成内部的配置文件。 Deployment otel-collector 负责收集来自不同应用程序和服务的日志数据，集中后上报至LTS。 Deployment

自定义事件上报AOM log-agent插件会将所有Warning级别事件以及部分Normal级别事件上报到AOM。您也可以根据需求自行设置需要上报的事件，具体方法如下： 在集群上执行以下命令，编辑当前的事件采集配置。 kubectl edit logconfig -n kube-system default-event-aom 根据需要修改事件采集配置。 apiVersion: logging.openvessel.io/v1 kind: LogConfig metadata: annotations: helm.sh/resource-policy: keep name: default-event-aom namespace: kube-system spec: inputDetail: #采集端配置 type: event #采集端类型，请勿修改 event: normalEvents: #Normal级别事件采集配置 enable: true #是否开启Normal级别事件采集 includeNames: #需要采集的事件名，不指定则采集所有事件 - NotTriggerScaleUp includeNames: #不采集的事件名，不指定则采集所有事件 - NotTriggerScaleUp warningEvents: #Warning级别事件采集配置 enable: true #是否开启Warning级别事件采集 includeNames: #需要采集的事件名，不指定则采集所有事件 - NotTriggerScaleUp includeNames: #不采集的事件名，不指定则采集所有事件 - NotTriggerScaleUp outputDetail: type: AOM #输出端类型，请勿修改 AOM: events: - name: DeleteNodeWithNoServer #事件名，必选 nameCn: 废弃节点清理 #事件对应的中文名，不填则上报的事件直接显示英文 resourceType: Namespace #事件对应的资源类型 severity: Major #事件上报到AOM后的事件级别，默认Major。可选值：Critical：紧急；Major：重要；Minor：次要；Info：提示

log-agent事件说明 在log-agent插件的安装和运行阶段，log-operator组件会上报事件，您可以根据这些事件来判断安装是否成功，并确定故障原因。具体如表6所示： 表6 log-agent事件说明 事件名称 说明 InitLTSFailed 初始化LTS日志组日志流失败 WatchAKSKFailed 监听AKSK失败 WatchAKSKSuccessful 监听AKSK成功 RequestLTSFailed 请求LTS接口失败 InitLTSSuccessful 初始化LTS日志组日志流成功 CreateWebhookConfigFailed 创建MutatingWebhookConfiguration失败 CreateWebhookConfigSuccessful 创建MutatingWebhookConfiguration成功 StartServerSuccessful 开启监听成功 StartServerFailed 开启监听失败 StartManagerFailed 开启CRD监听失败 InjectAnnotationFailed annotation注入失败 InjectAnnotationSuccessful annotation注入成功 UpdateLogConfigFailed 更新logconfig信息失败 GetConfigListFailed 获取CR列表失败 GenerateConfigFailed 生成fluent-bit、otel配置失败

log-agent指标说明 log-agent插件的log-operator、fluent-bit和otel-collector组件提供了一系列指标，您可以使用AOM或Prometheus来监控这些指标，以便及时了解log-agent插件的运行情况，具体操作可参考使用AOM监控自定义指标或使用Prometheus监控自定义指标。详细的指标如下所述： log-operator组件（仅华为云集群） 端口：8443；地址：/metrics；协议：https 表7 指标 指标名 说明 类型 log_operator_aksk_latest_update_times AK/SK最后更新时间 Gauge log_operator_aksk_update_total AK/SK更新次数 Counter log_operator_send_request_total 发送请求数 Counter log_operator_webhook_listen_status Webhook监听状态 Gauge log_operator_http_request_duration_seconds HTTP请求时延 Histogram log_operator_http_request_total HTTP请求数 Counter log_operator_webhook_request_total Webhook请求数 Counter fluent-bit组件 端口：2020；地址：/api/v1/metrics/prometheus；协议：http 表8 指标 指标名 说明 类型 fluentbit_filter_add_records_total 用于记录在过滤器中添加的记录总数 Counter fluentbit_filter_drop_records_total 用于记录被过滤掉的日志记录数量 Counter fluentbit_input_bytes_total 用于衡量Fluent Bit在处理日志数据时输入的总字节数 Counter fluentbit_input_files_closed_total 用于记录关闭的文件总数 Counter fluentbit_input_files_opened_total 用于监控Fluent Bit的文件输入插件（input plugin）打开的文件数量 Counter fluentbit_input_files_rotated_total 用于记录Fluent Bit输入插件已经轮转的文件总数 Counter fluentbit_input_records_total 用于衡量 Fluent Bit 在输入插件中处理的记录数 Counter fluentbit_output_dropped_records_total 用于记录输出插件丢弃的记录数量 Counter fluentbit_output_errors_total 用于监控 Fluent Bit 的输出错误数量 Counter fluentbit_output_proc_bytes_total 用于监控 Fluent Bit 的输出插件（output plugin）处理的总字节数 Counter fluentbit_output_proc_records_total 用于监控 Fluent Bit 的输出插件处理的记录数 Counter fluentbit_output_retried_records_total 用于衡量 Fluent Bit 在输出数据时重试的次数 Counter fluentbit_output_retries_total 用于衡量 Fluent Bit 在发送数据到输出插件时发生重试的次数 Counter fluentbit_uptime Fluent Bit 运行的时间，通常以秒为单位 Counter fluentbit_build_info 用于显示Fluent Bit的版本和构建信息 Gauge otel-collector组件 端口：8888；地址：/metrics；协议：http 表9 指标 指标名 说明 类型 otelcol_exporter_enqueue_failed_log_records 用于衡量OpenTelemetry Collector在将日志记录发送到下游系统时，由于某些原因无法成功发送的日志记录数量 Counter otelcol_exporter_enqueue_failed_metric_points 用于衡量在将指标数据发送到后端时，由于某些原因导致无法成功发送的指标数据点的数量 Counter otelcol_exporter_enqueue_failed_spans 用于衡量otelcol exporter在将span发送到后端时失败的次数 Counter otelcol_exporter_send_failed_log_records 用于衡量日志记录发送失败的数量 Counter otelcol_exporter_sent_log_records 用于衡量OpenTelemetry Collector（otelcol）发送的日志记录数量 Counter otelcol_process_cpu_seconds 用于度量进程CPU使用时间的指标，它表示进程在特定时间段内使用的CPU时间，单位为秒 Counter otelcol_process_memory_rss 是OpenTelemetry中用于监控进程内存使用情况的一个指标。其中，rss代表Resident Set Size，即进程当前占用的物理内存大小 Gauge otelcol_process_runtime_heap_alloc_bytes 用于监控进程运行时堆内存分配的指标。它表示进程在运行时分配的堆内存的总字节数。 Gauge otelcol_process_runtime_total_alloc_bytes 用于衡量进程在运行时分配的总字节数 Counter otelcol_process_runtime_total_sys_memory_bytes 用于衡量进程在运行时使用的系统内存总量，单位为字节。 Gauge otelcol_process_uptime 指OpenTelemetry收集器进程的运行时间，以秒为单位。 Counter otelcol_receiver_accepted_log_records 用于衡量OpenTelemetry收集器接收并成功处理的日志记录数量 Counter otelcol_receiver_refused_log_records 用于衡量接收器（receiver）拒绝接收的日志记录数量 Counter

本地集群安装云原生日志采集插件 登录UCS控制台，选择容器舰队，单击集群名称进入集群，在左侧导航栏中选择“插件中心”，在右侧找到云原生日志采集插件，单击“安装”。 在安装插件页面，设置“规格配置”。 表3 插件规格配置 参数 参数说明 插件规格 该插件可配置“小规格”、“大规格”或“自定义”规格。 实例数 选择上方插件规格后，显示插件中的实例数。 选择“自定义”规格时，您可根据需求调整插件实例数。 容器 log-agent插件包含以下容器，您可根据需求自定义调整规格： fluent-bit：日志收集器，以DaemonSet形式安装在每个节点。 cop-logs：负责采集侧配置文件生成及更新的组件。 log-operator：负责解析及更新日志规则的组件。 otel-collector：负责集中式日志转发的组件，将fluent-bit收集的日志转发到LTS。 设置插件支持的“参数配置”。 Kubernetes事件上报AOM：采集Kubernetes事件并上报到应用运维管理 AOM，可在AOM配置事件告警规则。 设置插件实例日志上报的“网络配置”。 公网接入：通过公网Internet接入，要求集群能够访问公网，具有弹性灵活、成本低、易接入的优势。公网接入要求集群能够访问公网，请确保集群已符合此条件，否则会接入失败。 云专线/VPN接入：通过云专线（DC）或虚拟专用网络（VPN）服务将云下网络与云上虚拟私有云（VPC）连通，并利用VPC终端节点通过内网与容器智能分析建立连接，具有高速、低时延、安全的优势。详情见本地集群使用云专线/VPN上报日志。 完成以上配置后，单击“安装”。

约束与限制 云原生日志采集插件有如下限制： 仅支持1.21及以上版本集群。 每个集群限制50条日志规则。 不采集.gz、.tar、.zip后缀类型的日志文件。 采集容器文件日志时，若节点存储模式为Device Mapper模式，路径配置必须为节点数据盘挂载路径。 若容器运行时为containerd模式，容器标准输出日志中的多行配置暂不生效。 每个集群限制单行日志采集速率不超过10000条/秒，多行日志不超过2000条/秒。 容器运行时间建议不小于1分钟，防止日志文件删除过快，无法及时采集。

本地集群安装云原生日志插件前置授权 由于云原生日志插件需要访问LTS和AOM两个云服务，访问云服务需要对云原生日志插件进行鉴权，本地集群云原生日志插件使用工作负载 Identity方式允许集群中的工作负载模拟IAM用户来访问云服务。 工作负载 Identity方式是将集群的公钥配置到IAM身份提供商中，并添加 ServiceAccount 与 IAM 账号映射规则。工作负载部署时挂载ServiceAccount对应的Token，使用此Token访问云服务，IAM 使用该公钥验证Token，从而无需直接使用 IAM 账号的 AK/SK 等信息，降低安全风险。 获取本地集群私钥签发的jwks，该公钥用于验证集群签发的 ServiceAccount Token。 使用kubectl连接本地集群。 执行如下命令获取公钥。 kubectl get --raw /openid/v1/jwks 返回结果为一个 json 字符串，是当前集群的签名公钥，用于访问身份供应商。 { "keys": [ { "kty": "RSA", "e": "AQAB", "use": "sig", "kid": "Ew29q....", "alg": "RS256", "n": "peJdm...." } ] } 在 IAM 配置身份供应商，标志当前集群在 IAM 侧的身份。 登录IAM控制台,查询本地集群所在项目的ID，创建身份供应商，协议选择OpenID Connect。指定插件需要配置指定的身份供应商名称，具体请参见表1。 表1 log-agent身份供应商配置 插件名称 身份提供商名称 客户端 ID namespace ServiceAccountName 用户组需要开通的最小权限 log-agent ucs-cluster-identity-{项目ID} ucs-cluster-identity monitoring log-agent-serviceaccount aom:alarm:* lts:*:* 图1 修改身份提供商信息 单击“确定”，然后修改身份提供商信息，需要修改的信息如表2所示。随后创建身份转换规则，单击“创建规则”进行创建。 图2 修改身份提供商信息 表2 身份提供商配置参数说明 参数 说明 访问方式 选择“编程访问”。 配置信息 身份供应商 URL：https://kubernetes.default.svc.cluster.local。 客户端 ID：指定插件需要配置指定的客户端 ID，请参见 表1。 签名公钥：本地集群的 jwks，获取方法请参见1。 身份转换规则 身份映射规则是将集群内的 ServiceAccount 和 IAM 用户组做映射。 例如：在集群 default 命名空间下创建一个名为 XXX 的 ServiceAccount，映射到 demo 用户组，后续使用该 ServiceAccount 获取的 IAM Token 访问云服务就具有 demo 用户组的权限。 映射规则中，属性必须为 sub，值的格式为：system:serviceaccount:Namespace:ServiceAccountName 本地集群中的相关插件需要配置指定的 ServiceAccountName 和用户组权限才能正常工作，请参见 表1。 图3 创建身份转换规则 单击“确定”。

权限说明 云原生日志采集插件中的fluent-bit组件会根据用户的采集配置，读取各节点上容器标准输出、容器内文件日志以及节点日志并采集。 fluent-bit组件运行会使用到以下权限： CAP_DAC_OVERRIDE：忽略文件的 DAC 访问限制。 CAP_FOWNER：忽略文件属主 ID 必须和进程用户 ID 相匹配的限制。 DAC_READ_SEARCH：忽略文件读及目录搜索的 DAC 访问限制。 SYS_PTRACE：允许跟踪任何进程。

在控制台注销本地集群 仅在控制台进行注销操作，不会删除集群。 进入 UCS 界面，左侧导航栏选择“容器舰队”。 找到待注销的本地集群： 已加入容器舰队的本地集群，先进入对应的容器舰队控制台，然后再左侧导航栏选择容器集群。 未加入容器舰队的本地集群，单击容器舰队列表最上面的“未加入舰队的集群”即可。 单击本地集群右上角的注销按钮，会弹出注销确认框。 确认待注销的集群名称等信息，并勾选“我已阅读并知晓上述信息”，单击“确定”即可在控制台注销本地集群。

本地资源清理 该操作可能导致与该集群有绑定关系的资源（比如指定调度集群的负载等）无法正常使用，请谨慎操作，避免对运行中的业务造成影响。 在控制台注销并没有真正删除本地集群，您需要手动进入集群内完成删除过程。 复制注销之后控制台返回的卸载命令。 进入本地集群中的节点内，执行卸载命令。 ./ucs-ctl delete cluster cluster_name cluster_name请替换为集群名称。

检查节点apt源（Ubuntu） 检查节点apt源操作适用于操作系统为Ubuntu的节点，若您的节点操作系统为HCE或Redhat，请参见检查节点yum源（HCE、Redhat）进行检查。 在本地集群执行纳管节点操作时（纳管节点是指待添加到本地集群管理的服务器），部分安装组件如ntpdate等，需要从apt源中获取依赖包。故纳管节点前，请确保节点上apt源是可用的，若不可用，请执行如下操作。 以安装用户（默认为root）登录待安装的集群管理节点。 编辑“/etc/apt/sources.list”。 具体信息以实际规划的apt源服务器地址为准。 保存文件，执行如下命令。 sudo apt-get update （可选）若有多个管理节点，如HA版本，请分别登录到规划的管理节点执行上述操作。