访问鉴权管理(IAM)功能新增:集群身份

为了完善 IAM 产品资源类的信任载体身份,以服务于更多未来的使用场景,我们新增支持集群作为身份信任载体。(参见:什么是信任载体?

支持集群资源作为身份信任载体后,和主机身份一样,使用者可以创建集群身份并赋予策略权限,然后将已创建好的 AppCenter 集群作为资源添加到该身份。于是,此资源即可通过植入 QingCloud 官方 SDK 获得身份上附加的策略所定义的操作权限(参见:如何使用身份?)。

创建集群身份:

为集群身份添加信任载体资源: AppCenter 集群详情:

未来,QingCloud AppCenter 平台将借由 IAM 的此功能特性设计出更便捷的集群应用服务于客户。

QingStor NeonSAN v3.0版本重磅发布

日前,QingStor NeonSAN v3.0版本正式重磅发布。

QingStor NeonSAN 是 QingStor产品线下的分布式块存储, 是新一代软件定义分布式 SAN存储系统(Server SAN),适应云时代对存储系统更高性能、更低时延、更加弹性的要求,NeonSAN 在功能、性能、可靠性和易用性等方面满足企业核心数据库OLTP/OLAP、虚拟化平台、容器平台,物理主机高可用集群、大数据分析计算等应用的存储需求。

在 IDC 最新发布的《中国软件定义存储及超融合市场跟踪研究报告,2019Q4》中,青云QingCloud 旗下的QingStor企业级分布式存储和青立方超融合凭借优异的技术和市场表现双双入围核心厂商。其中,QingStor NeonSAN连续两年入围,跻身软件定义块存储市场四强,并且成功带动QingStor 企业级分布式存储近三年复合增长率超600%。

作为“云时代企业核心存储平台”,QingStor NeonSAN在2.0版本就具备了极致性能、稳定可靠、智能运维等优势。本次QingStor NeonSAN 3.0版本再次迎来一系列重磅升级。

v3.0 主要更新如下:
  • 两款一体机新品
    • 容器存储一体机 KubeSphere KF3000
    • 分布式全闪存储一体机 QingStor NF6000
  • 四大场景能力提升:
    • 云平台/虚拟化场景
    • 大数据场景
    • 业务连续性
    • 云原生持久化存储场景
  • 四大新增功能:
    • 端到端RDMA访问
    • NVMEoF
    • 更细粒度的QoS
    • 异构存储资源池管理
  • 六项主要优化:
    • 包括iSCSI效率提升30%
    • 增量备份机制优化,提高备份效率,备份时间缩短30%
    • 支持卷副本分布查询,更好地判断数据冷热分布
    • 硬盘运维更灵活,支持数据保留和迁移两种模式
    • 在线升级效率提升50%
    • 复杂环境下的自愈能力优化
以及其他若干其他优化,比如增加/删除SSD盘的逻辑优化,增加/删除存储池的节点的逻辑优化等
  • KubeSphere KF3000 容器一体机
为了让容器化环境更加快速落地,青云QingCloud 推出了业界首款企业级的容器一体机:KubeSphere KF3000容器一体机。KubeSphere KF3000结合了KubeSphere 以及QingStor NeonSAN两款产品本身的企业级能力,并做了代码级优化,整合优化后可提供商用级服务,免去了用户安装配置的麻烦,并且在性能上能达到很高的水平。
  • QingStor NF6000

QingStor NF6000 是青云最新推出的分布式全闪存储一体机
QingStor NF6000基于标准的x86服务器。看似很平常的硬件配置,通过最小规模的3节点集群,青云QingCloud 可以给到客户3节点100万IOPS的性能指标,并且保证时延在0.5毫秒以下。这是QingStor NF6000分布式全闪存储一体机的能力。这个指标完全是业界主流的中高端全闪阵列性能指标,青云QingCloud 则基于标准的x86服务器、普通的硬件配置、普通的以太网络,以高性价比的硬件形态提供给用户,这是QingStor NF6000分布式全闪存储一体机最大的价值。

青云QingCloud 云平台 4.6 新版发布,VPC/NFV网络监控及管理升级,主机新增支持底层加密完善批量克隆

QingCloud 云平台是青云QingCloud 基于多年研发积累和大规模公有云实践验证,以及对业务场景的深入理解,推出的面向多行业的企业级平台型云计算软件产品,具备,支持从单台物理机到超大规模云计算集群的平滑演进,企业可随着自身业务增长实现弹性扩容和按需升级。

本次4.6版本更新内容如下:

VPC增加网络健康检测

VPC隧道规则增加监控功能

VPC IPSec隧道规则增加启用关闭功能

VPC,LB,EIP支持包年包月计费

防火墙支持IPv6-ICMP

防火墙 ICMP/IPv6-ICMP允许配置 all 类型

 

批量克隆VM,每个VM支持指定不同的克隆数量

主机、硬盘支持加密功能

其它更新内容如下所示:

  • DNS及域名检查增加权重支持
  • 路由表规则支持同时按源匹配的策略路由
  • 重建私有网络时,添加重建状态,防止反复重建
  • NATGW EIP支持权重配置
  • NATGW支持集群健康检查
  • NATGW支持主备多线路出口
  • 物理网卡Bond模式支持 Offload加速私有网络

青云QingCloud 统一运维运营平台 4.6 新版发布,提供充值,客户管理,应用管理等运营功能

关于 青云QingCloud 统一运维运营平台

        青云QingCloud 统一运维运营平台是云平台的管理端,它既能监控云平台整体运行情况,也能帮助运维人员和运营人员进行高效管理,提供多种运维功能模块,如系统总览,计算大屏,网络大屏,基础设施计算管理、网络管理、存储管理,资源管理,运维管理,云用户等运维功能;也能提供价格管理,客户管理,充值发票,应用管理等运营功能。

4.6 更新详情列表

 

重点运营功能

  • 支持充值和充值历史记录,可导出记录。
  • 客户管理:
    支持查看客户信息:查看客户消费统计,充值,发票等;
    支持对客户的操作记录和发送的通知消息查看
  • 发票管理,支持财务开具发票流程。
  • 应用管理:支持应用审核并管理应用。

重点运维功能

  • 私有网络,私有网络恢复,用户发现私有网络异常时,可以对私有网络进行恢复。
  • 边界路由器/内网路由器展示。 

其它功能和升级:

  • BGP规则展示:VPC,私有网络,计算节点支持BGP规则展示。
  • 设备管理:支持对设备的创建操作。
  • 告警输出:支持输出告警到syslog服务器,通知组支持添加syslog地址。
  • 定时任务:增加资源报告报表。
  • 全局任务:运维工具增加全局任务管理。
  • 告警压制:告警中心增加告警压制,某些节点需要维护时,可以屏蔽告警,也可以在计算节点,管理节点入口操作。
  • 预留合约:支持对预留合约的查看。
  • 价格管理:增加lb,vpc,eip 包年包月购买方式和价格维护功能。
  • 消息通知:可以根据条件给客户发送通知。

KubeSphere 容器平台 3.0.0 Release Notes

关于 KubeSphere 

KubeSphere® 是经 CNCF 认证的 Kubernetes 主流开源发行版之一,在 Kubernetes 之上提供多种以容器为资源载体的业务功能模块,如多租户管理、集群运维、应用管理、DevOps、微服务治理等功能。 KubeSphere® 初始安装请参考安装部署指南

3.0.0 更新详情

安装

FEATURE

  • 全新的开箱即用的 installer: KubeKey,v1.0.0,极大降低对不同操作系统环境的依赖,通过更简单、高效的方式快速部署 Kubernetes + KubeSphere 环境

UPGRADE & ENHANCEMENT

  • 新版 ks-installer,v3.0.0,兼容 Kubernetes 1.15.x、1.16.x、1.17.x 和 1.18.x

  • KubeKey 官方验证并支持 Kubernetes 1.15.12、1.16.13、1.17.9 and 1.18.6(注意,请避免使用 KubeKey 安装 Kubernetes 1.15~1.15.5 和 1.16~1.16.2,因为这些版本的 Kubernetes 有 API 验证失败的问题)

  • 增加对操作系统 SUSE Enterprise Linux Server、OpenSUSE、EulerOS、UOS 和 KylinOS 的支持

  • 增加对 鲲鹏 和 飞腾 CPU 的支持

  • 使用 ClusterConfiguration 替代之前的 ConfigMap 资源对象存储 ks-installer 相关的安装配置信息

集群管理

FEATURE

  • 支持多集群统一化管理

  • 支持跨集群联邦部署

可观察性

FEATURE

  • 支持在 KubeSphere 控制台添加第三方应用监控指标

  • 支持 K8s 及 KubeSphere 操作审计,并支持审计记录的归档、检索和告警

  • 支持 K8s 事件管理,并支持基于 kube-events 的事件的归档、检索和告警

  • 支持租户级操作审计和 K8s 事件的检索,授权用户仅能检索自己权限允许范围内的操作审计记录和 K8s 事件

  • 支持将审计记录和 K8s 事件归档至 Elasticsearch,Kafka 或者 Fluentd

  • 基于 Notification Manager 支持多租户通知   

  • 支持 Alertmanager v0.21.0

UPGRADE & ENHANCEMENT

  • 升级 Prometheus Operator 至 v0.38.3(KubeSphere 定制版)

  • 升级 Prometheus 至 v2.20.1

  • 升级 Node Exporter 至 v0.18.1

  • 升级 kube-state-metrics 至 v1.9.6

  • 升级 metrics server 至 v0.3.7

  • metrics-server 调整为缺省安装(在已有 K8s 上默认不安装 metrics-server )

  • 升级 Fluent Bit Operator 至 v0.2.0

  • 升级 Fluent Bit 至 v1.4.6

  • 极大改善日志检索效率

  • 允许平台管理员查看已被删除的项目(namespace)下的 pod 的日志

  • 优化落盘日志收集配置

BUG FIXES

  • 修复新创建项目的监控数据图时间轴偏移问题 (#2868)

  • 修复工作负载级别的告警在某些场景下无法正常工作的问题 (#2834)

  • 修复节点在 NotReady 状态下没有监控数据的问题

DevOps

FEATURE

  • 重构 DevOps 模块的架构,使用 CRDs 方式管理 DevOps 资源

UPGRADE & ENHANCEMENT

  • 在安装包中删除 Sonarqube,调整为支持对接外部 Sonarqube

BUG FIXES

  • 修复 DevOps 权限数据在偶发场景下丢失的问题

  • 修复 DevOps 的 Stage 页面按钮无法正常工作的问题 (#449)

  • 修复流水线参数无法正常提交保存的问题 (#2699)

应用商店

FEATURE

  • 支持 Helm V3

  • 支持将应用模板部署到多集群之中

  • 支持应用模板升级

  • 支持查看应用仓库同步过程中产生的事件

UPGRADE & ENHANCEMENT

  • 用户能使用相同的应用仓库名称Users can use the same application repository name

  • 支持应用模板中的 CRD 资源

  • 将 OpenPitrix 下的所有 Service 对象整合到一个 Service 之中

  • 在添加应用仓库时,支持 HTTP 验证方式

  • 应用仓库中新增和升级以下应用:
    AWS EBS CSI Driver 0.5.0 – Helm 0.3.0
    AWS EFS CSI Driver 0.3.0 – Helm 0.1.0
    AWS FSX CSI Driver 0.1.0 – Helm 0.1.0
    Elasticsearch Exporter 1.1.0 – Helm 3.3.0
    etcd 3.3.12 – Helm 0.1.1
    Harbor 2.0.0 – Helm 1.4.0
    Memcached 1.5.20 – Helm 3.2.3
    Minio master – Helm 5.0.26
    MongoDB 4.2.1 – Helm 0.3.0
    MySQL 5.7.30 – Helm 1.6.6
    MySQL Exporter 0.11.0 – Helm 0.5.3
    Nginx 1.18.0 – Helm 1.3.2
    Porter 0.3-alpha – Helm 0.1.3
    PostgreSQL 12.0 – Helm 0.3.2
    RabbitMQ 3.8.1 – Helm 0.3.0
    Redis 5.0.5 – Helm 0.3.2
    Redis Exporter 1.3.4 – Helm 3.4.1
    Tomcat 8.5.41 – Helm 0.4.1+1

BUG FIXES

  • 修复 attachment IDs 字段长度不足的问题

网络

FEATURE

  • 支持项目级租户网络隔离和网络防火墙策略管理

  • 支持企业空间级租户网络隔离

  • 支持增删改和查看原生 K8s 网络策略

Service Mesh

FEATURE

  • 支持清理 Jaeger ES 索引

UPGRADE & ENHANCEMENT

  • 升级 Istio 至 v1.4.8

存储

FEATURE

  • 支持存储卷快照管理

  • 支持存储容量管理

  • 支持存储卷监控

安全

FEATURE

  • 支持LDAP,OAuth2认证插件

  • 支持自定义企业空间角色

  • 支持自定义 DevOps 工程角色

  • 支持跨集群安全权限控制

  • 支持 pod security context(#1453)

UPGRADE & ENHANCEMENT

  • 简化了角色的自定义方式,将关联紧密的权限项聚合为权限组

  • 优化内置角色

BUG FIXES

  • 修复由于集群节点时间不同步导致的登录失败问题

全球化

FEATURE

  • 增加西班牙语、繁体中文的支持

用户体验

FEATURE

  • 工具箱新增支持“访问历史”快捷操作,用户可以查看自己之前访问过的集群、企业空间、项目和 DevOps 工程,并且支持通过键盘快捷键方式快速启动

UPGRADE & ENHANCEMENT

  • 重构和优化全局导航栏

  • 重构和优化详情页的痕迹导航

  • 重构和优化资源列表页的数据自刷新

  • 简化项目(namespace)的创建过程

  • 重构和优化应用的创建,支持通过 YAML 创建应用

  • 支持通过 YAML 方式修正工作负载

  • 调整工具箱中日志检索页面的数据展示方式

  • 重构和优化应用商店中应用部署的表单页

  • 支持 helm chart schema(#schema-files)

BUG FIXES

  • 修复编辑 ingress annotations 的报错问题(#1931)

  • 修复编辑工作负载容器探针的报错问题

  • 修复 XSS 安全问题

新功能截图

 

无需中断业务 数据盘支持在线扩容

在用户使用云资源的过程中,伴随着业务的发展,会出现诸如日志、图片、视频等文件增加的情况,导致数据盘空间不够用,此时需要考虑给云主机的数据盘扩容。

此前,数据盘扩容是需要先将云硬盘卸载之后再进行扩容,而后再挂载到云主机上面。这种扩容方式会导致业务中断,影响用户体验。数据盘在线扩容功能上线后,用户可在数据盘处于挂载状态时直接进行扩容,无需提前卸载云硬盘。

当然我们仍需在扩容数据盘之前确保数据的安全,比如提前做好备份,万一出现问题可以快速恢复数据。

过程如下,先对硬盘进行备份,然后在控制台对云硬盘进行扩容,完成硬盘扩容后,硬盘每个分区的文件系统并未扩容,您需要登录主机扩容文件系统,完成扩容。

 

 

访问鉴权管理产品新增操作日志模块

作为一款以安全角度出发的产品,当客户数据发生变动时记录操作轨迹以供审查和回溯将尤为重要。为了明确告知客户的账户身份何时被创建、修改和代入使用,我们为 IAM 产品新增了操作日志模块。

点击头像下方的【访问鉴权管理】进入 IAM 控制台,即可在左侧发现【操作日志】入口:

系统将按时间倒序记录本账户在 IAM 控制台的每一个操作,例如创建身份、修改身份上的附加策略、更换策略版本等,同时针对跨账户身份还跟踪了该身份被切换使用的情况。

除此之外,使用者还可通过选择时间区间,或通过 API 指令、资源 ID 等关键词过滤定位到想要跟踪的操作历史。

平台操作日志支持查看身份执行者信息

在引入 IAM 产品后,云平台账户可以通过 IAM 身份来授权访问和管理账户内的资源。为了明确云资源的操作变动来自于谁,我们在 qingcloud 平台原有的操作日志中增加了执行者的信息。

当某个操作由 IAM 身份而非账户本身来执行时,将会看到如下信息:

使用者可点击身份 ID 进入 IAM 身份详情页以查看和获取更多与该身份有关的信息。

账户注册优化:未完成注册验证的邮箱地址支持更换

为了提升新客使用体验,增加意向客户的友好度,当因注册邮箱填错或邮件服务异常等原因收不到验证邮件时,可以换掉邮箱完成账户注册。

注册完成但还未验证邮件时,可以立即选择更换邮箱地址:

使用未验证的邮箱登陆控制台时,也可根据提示选择更换邮箱地址:

点击“更换注册邮箱”后,按提示输入新邮箱地址及手机验证码即可完成邮箱更换:

更换后,新邮箱中会收到验证链接,点击验证:

邮箱验证通过后,即可使用新邮箱地址作为账号登陆 QingCloud 控制台。

QingCloud IAM 访问鉴权管理服务 V1.0 发布

关于 QingCloud IAM

访问鉴权管理(Identity and Access Management,IAM)是一款在 QingCloud 平台上提供身份识别和访问控制的 Web 服务。通过使用 IAM 来统一管理和控制接入实体的认证和授权,能更安全地自主管控本账户下的任意资源访问权限。

日前,青云 QingCloud IAM 服务 V1.0 版(qingcloud.com/products/iam/)已发布至公有云平台供广大客户试用。

本版已发布的主要功能列表

一、身份信任载体

  1. 支持 QingCloud 账户作为身份信任载体,使得被信任的账户能访问到自己的视图来参与运维
  2. 支持 QingCloud 云主机作为身份信任载体,使得云主机上的应用开发可以不必使用账户 API 密钥就能按需访问到自己的账户资源

使用详情请参见:帮助中心 – 访问鉴权管理 – 信任载体

二、身份管理

  1. 支持设定身份凭证会话有效期
  2. 支持管理身份上附加的策略权限
  3. 支持为账户类信任载体配置控制台 UI 访问模块
  4. 支持为主机类信任载体更换同类身份

三、策略权限配置

  1. 支持为弹性云主机、虚拟专用网、弹性负载均衡和资源云监控四大服务配置策略。参见:帮助中心 – 访问鉴权管理 – 支持的服务列表
  2. 支持为弹性云主机、虚拟专用网和弹性负载均衡服务配置策略时限定到特定资源
  3. 支持策略多重预期效力叠加,支持复合策略
  4. 支持可视化和代码编辑模式无缝切换

四、策略管理

  1. 支持为任意策略引用身份或离开身份
  2. 支持修改自定义策略,并可视化管理版本

五、策略模拟器

  1. 支持为身份上的复合策略模拟测试和调整
  2. 支持针对策略列表中的任意策略单一或复合模拟测试

更多关于 IAM V1.0 的版本信息,请查看帮助文档:帮助中心 – 访问鉴权管理