访问鉴权管理(IAM)功能新增:集群身份

为了完善 IAM 产品资源类的信任载体身份,以服务于更多未来的使用场景,我们新增支持集群作为身份信任载体。(参见:什么是信任载体?

支持集群资源作为身份信任载体后,和主机身份一样,使用者可以创建集群身份并赋予策略权限,然后将已创建好的 AppCenter 集群作为资源添加到该身份。于是,此资源即可通过植入 QingCloud 官方 SDK 获得身份上附加的策略所定义的操作权限(参见:如何使用身份?)。

创建集群身份:

为集群身份添加信任载体资源: AppCenter 集群详情:

未来,QingCloud AppCenter 平台将借由 IAM 的此功能特性设计出更便捷的集群应用服务于客户。

青云QingCloud 云平台 4.6 新版发布,VPC/NFV网络监控及管理升级,主机新增支持底层加密完善批量克隆

QingCloud 云平台是青云QingCloud 基于多年研发积累和大规模公有云实践验证,以及对业务场景的深入理解,推出的面向多行业的企业级平台型云计算软件产品,具备,支持从单台物理机到超大规模云计算集群的平滑演进,企业可随着自身业务增长实现弹性扩容和按需升级。

本次4.6版本更新内容如下:

VPC增加网络健康检测

VPC隧道规则增加监控功能

VPC IPSec隧道规则增加启用关闭功能

VPC,LB,EIP支持包年包月计费

防火墙支持IPv6-ICMP

防火墙 ICMP/IPv6-ICMP允许配置 all 类型

 

批量克隆VM,每个VM支持指定不同的克隆数量

主机、硬盘支持加密功能

其它更新内容如下所示:

  • DNS及域名检查增加权重支持
  • 路由表规则支持同时按源匹配的策略路由
  • 重建私有网络时,添加重建状态,防止反复重建
  • NATGW EIP支持权重配置
  • NATGW支持集群健康检查
  • NATGW支持主备多线路出口
  • 物理网卡Bond模式支持 Offload加速私有网络

青云QingCloud 统一运维运营平台 4.6 新版发布,提供充值,客户管理,应用管理等运营功能

关于 青云QingCloud 统一运维运营平台

        青云QingCloud 统一运维运营平台是云平台的管理端,它既能监控云平台整体运行情况,也能帮助运维人员和运营人员进行高效管理,提供多种运维功能模块,如系统总览,计算大屏,网络大屏,基础设施计算管理、网络管理、存储管理,资源管理,运维管理,云用户等运维功能;也能提供价格管理,客户管理,充值发票,应用管理等运营功能。

4.6 更新详情列表

 

重点运营功能

  • 支持充值和充值历史记录,可导出记录。
  • 客户管理:
    支持查看客户信息:查看客户消费统计,充值,发票等;
    支持对客户的操作记录和发送的通知消息查看
  • 发票管理,支持财务开具发票流程。
  • 应用管理:支持应用审核并管理应用。

重点运维功能

  • 私有网络,私有网络恢复,用户发现私有网络异常时,可以对私有网络进行恢复。
  • 边界路由器/内网路由器展示。 

其它功能和升级:

  • BGP规则展示:VPC,私有网络,计算节点支持BGP规则展示。
  • 设备管理:支持对设备的创建操作。
  • 告警输出:支持输出告警到syslog服务器,通知组支持添加syslog地址。
  • 定时任务:增加资源报告报表。
  • 全局任务:运维工具增加全局任务管理。
  • 告警压制:告警中心增加告警压制,某些节点需要维护时,可以屏蔽告警,也可以在计算节点,管理节点入口操作。
  • 预留合约:支持对预留合约的查看。
  • 价格管理:增加lb,vpc,eip 包年包月购买方式和价格维护功能。
  • 消息通知:可以根据条件给客户发送通知。

KubeSphere 容器平台 3.0.0 Release Notes

关于 KubeSphere 

KubeSphere® 是经 CNCF 认证的 Kubernetes 主流开源发行版之一,在 Kubernetes 之上提供多种以容器为资源载体的业务功能模块,如多租户管理、集群运维、应用管理、DevOps、微服务治理等功能。 KubeSphere® 初始安装请参考安装部署指南

3.0.0 更新详情

安装

FEATURE

  • 全新的开箱即用的 installer: KubeKey,v1.0.0,极大降低对不同操作系统环境的依赖,通过更简单、高效的方式快速部署 Kubernetes + KubeSphere 环境

UPGRADE & ENHANCEMENT

  • 新版 ks-installer,v3.0.0,兼容 Kubernetes 1.15.x、1.16.x、1.17.x 和 1.18.x

  • KubeKey 官方验证并支持 Kubernetes 1.15.12、1.16.13、1.17.9 and 1.18.6(注意,请避免使用 KubeKey 安装 Kubernetes 1.15~1.15.5 和 1.16~1.16.2,因为这些版本的 Kubernetes 有 API 验证失败的问题)

  • 增加对操作系统 SUSE Enterprise Linux Server、OpenSUSE、EulerOS、UOS 和 KylinOS 的支持

  • 增加对 鲲鹏 和 飞腾 CPU 的支持

  • 使用 ClusterConfiguration 替代之前的 ConfigMap 资源对象存储 ks-installer 相关的安装配置信息

集群管理

FEATURE

  • 支持多集群统一化管理

  • 支持跨集群联邦部署

可观察性

FEATURE

  • 支持在 KubeSphere 控制台添加第三方应用监控指标

  • 支持 K8s 及 KubeSphere 操作审计,并支持审计记录的归档、检索和告警

  • 支持 K8s 事件管理,并支持基于 kube-events 的事件的归档、检索和告警

  • 支持租户级操作审计和 K8s 事件的检索,授权用户仅能检索自己权限允许范围内的操作审计记录和 K8s 事件

  • 支持将审计记录和 K8s 事件归档至 Elasticsearch,Kafka 或者 Fluentd

  • 基于 Notification Manager 支持多租户通知   

  • 支持 Alertmanager v0.21.0

UPGRADE & ENHANCEMENT

  • 升级 Prometheus Operator 至 v0.38.3(KubeSphere 定制版)

  • 升级 Prometheus 至 v2.20.1

  • 升级 Node Exporter 至 v0.18.1

  • 升级 kube-state-metrics 至 v1.9.6

  • 升级 metrics server 至 v0.3.7

  • metrics-server 调整为缺省安装(在已有 K8s 上默认不安装 metrics-server )

  • 升级 Fluent Bit Operator 至 v0.2.0

  • 升级 Fluent Bit 至 v1.4.6

  • 极大改善日志检索效率

  • 允许平台管理员查看已被删除的项目(namespace)下的 pod 的日志

  • 优化落盘日志收集配置

BUG FIXES

  • 修复新创建项目的监控数据图时间轴偏移问题 (#2868)

  • 修复工作负载级别的告警在某些场景下无法正常工作的问题 (#2834)

  • 修复节点在 NotReady 状态下没有监控数据的问题

DevOps

FEATURE

  • 重构 DevOps 模块的架构,使用 CRDs 方式管理 DevOps 资源

UPGRADE & ENHANCEMENT

  • 在安装包中删除 Sonarqube,调整为支持对接外部 Sonarqube

BUG FIXES

  • 修复 DevOps 权限数据在偶发场景下丢失的问题

  • 修复 DevOps 的 Stage 页面按钮无法正常工作的问题 (#449)

  • 修复流水线参数无法正常提交保存的问题 (#2699)

应用商店

FEATURE

  • 支持 Helm V3

  • 支持将应用模板部署到多集群之中

  • 支持应用模板升级

  • 支持查看应用仓库同步过程中产生的事件

UPGRADE & ENHANCEMENT

  • 用户能使用相同的应用仓库名称Users can use the same application repository name

  • 支持应用模板中的 CRD 资源

  • 将 OpenPitrix 下的所有 Service 对象整合到一个 Service 之中

  • 在添加应用仓库时,支持 HTTP 验证方式

  • 应用仓库中新增和升级以下应用:
    AWS EBS CSI Driver 0.5.0 – Helm 0.3.0
    AWS EFS CSI Driver 0.3.0 – Helm 0.1.0
    AWS FSX CSI Driver 0.1.0 – Helm 0.1.0
    Elasticsearch Exporter 1.1.0 – Helm 3.3.0
    etcd 3.3.12 – Helm 0.1.1
    Harbor 2.0.0 – Helm 1.4.0
    Memcached 1.5.20 – Helm 3.2.3
    Minio master – Helm 5.0.26
    MongoDB 4.2.1 – Helm 0.3.0
    MySQL 5.7.30 – Helm 1.6.6
    MySQL Exporter 0.11.0 – Helm 0.5.3
    Nginx 1.18.0 – Helm 1.3.2
    Porter 0.3-alpha – Helm 0.1.3
    PostgreSQL 12.0 – Helm 0.3.2
    RabbitMQ 3.8.1 – Helm 0.3.0
    Redis 5.0.5 – Helm 0.3.2
    Redis Exporter 1.3.4 – Helm 3.4.1
    Tomcat 8.5.41 – Helm 0.4.1+1

BUG FIXES

  • 修复 attachment IDs 字段长度不足的问题

网络

FEATURE

  • 支持项目级租户网络隔离和网络防火墙策略管理

  • 支持企业空间级租户网络隔离

  • 支持增删改和查看原生 K8s 网络策略

Service Mesh

FEATURE

  • 支持清理 Jaeger ES 索引

UPGRADE & ENHANCEMENT

  • 升级 Istio 至 v1.4.8

存储

FEATURE

  • 支持存储卷快照管理

  • 支持存储容量管理

  • 支持存储卷监控

安全

FEATURE

  • 支持LDAP,OAuth2认证插件

  • 支持自定义企业空间角色

  • 支持自定义 DevOps 工程角色

  • 支持跨集群安全权限控制

  • 支持 pod security context(#1453)

UPGRADE & ENHANCEMENT

  • 简化了角色的自定义方式,将关联紧密的权限项聚合为权限组

  • 优化内置角色

BUG FIXES

  • 修复由于集群节点时间不同步导致的登录失败问题

全球化

FEATURE

  • 增加西班牙语、繁体中文的支持

用户体验

FEATURE

  • 工具箱新增支持“访问历史”快捷操作,用户可以查看自己之前访问过的集群、企业空间、项目和 DevOps 工程,并且支持通过键盘快捷键方式快速启动

UPGRADE & ENHANCEMENT

  • 重构和优化全局导航栏

  • 重构和优化详情页的痕迹导航

  • 重构和优化资源列表页的数据自刷新

  • 简化项目(namespace)的创建过程

  • 重构和优化应用的创建,支持通过 YAML 创建应用

  • 支持通过 YAML 方式修正工作负载

  • 调整工具箱中日志检索页面的数据展示方式

  • 重构和优化应用商店中应用部署的表单页

  • 支持 helm chart schema(#schema-files)

BUG FIXES

  • 修复编辑 ingress annotations 的报错问题(#1931)

  • 修复编辑工作负载容器探针的报错问题

  • 修复 XSS 安全问题

新功能截图

 

AppCenter 2.0 支持一键创建集群及其依赖的资源

为提升用户体验,8月,AppCenter 2.0 开发框架上线支持一键创建集群及集群依赖的资源,该功能在使用上给用户带来了一定的便捷。

用户可以一键创建集群和 VPC,并将集群加入到 VPC 中的 Vxnet。并且支持一键完成部署,部署在内部自动完成。

目前该功能优先在官网上线了,青云控制台随后推出,敬请期待。

 

无需中断业务 数据盘支持在线扩容

在用户使用云资源的过程中,伴随着业务的发展,会出现诸如日志、图片、视频等文件增加的情况,导致数据盘空间不够用,此时需要考虑给云主机的数据盘扩容。

此前,数据盘扩容是需要先将云硬盘卸载之后再进行扩容,而后再挂载到云主机上面。这种扩容方式会导致业务中断,影响用户体验。数据盘在线扩容功能上线后,用户可在数据盘处于挂载状态时直接进行扩容,无需提前卸载云硬盘。

当然我们仍需在扩容数据盘之前确保数据的安全,比如提前做好备份,万一出现问题可以快速恢复数据。

过程如下,先对硬盘进行备份,然后在控制台对云硬盘进行扩容,完成硬盘扩容后,硬盘每个分区的文件系统并未扩容,您需要登录主机扩容文件系统,完成扩容。

 

 

访问鉴权管理产品新增操作日志模块

作为一款以安全角度出发的产品,当客户数据发生变动时记录操作轨迹以供审查和回溯将尤为重要。为了明确告知客户的账户身份何时被创建、修改和代入使用,我们为 IAM 产品新增了操作日志模块。

点击头像下方的【访问鉴权管理】进入 IAM 控制台,即可在左侧发现【操作日志】入口:

系统将按时间倒序记录本账户在 IAM 控制台的每一个操作,例如创建身份、修改身份上的附加策略、更换策略版本等,同时针对跨账户身份还跟踪了该身份被切换使用的情况。

除此之外,使用者还可通过选择时间区间,或通过 API 指令、资源 ID 等关键词过滤定位到想要跟踪的操作历史。

平台操作日志支持查看身份执行者信息

在引入 IAM 产品后,云平台账户可以通过 IAM 身份来授权访问和管理账户内的资源。为了明确云资源的操作变动来自于谁,我们在 qingcloud 平台原有的操作日志中增加了执行者的信息。

当某个操作由 IAM 身份而非账户本身来执行时,将会看到如下信息:

使用者可点击身份 ID 进入 IAM 身份详情页以查看和获取更多与该身份有关的信息。

账户注册优化:未完成注册验证的邮箱地址支持更换

为了提升新客使用体验,增加意向客户的友好度,当因注册邮箱填错或邮件服务异常等原因收不到验证邮件时,可以换掉邮箱完成账户注册。

注册完成但还未验证邮件时,可以立即选择更换邮箱地址:

使用未验证的邮箱登陆控制台时,也可根据提示选择更换邮箱地址:

点击“更换注册邮箱”后,按提示输入新邮箱地址及手机验证码即可完成邮箱更换:

更换后,新邮箱中会收到验证链接,点击验证:

邮箱验证通过后,即可使用新邮箱地址作为账号登陆 QingCloud 控制台。