运维K8s资产（公测中）

背景信息

阿里云容器服务Kubernetes版（Alibaba Cloud Container Service for Kubernetes，简称容器服务ACK）是全球首批通过Kubernetes（K8s）一致性认证的服务平台，提供高性能的容器应用管理服务，支持企业级Kubernetes容器化应用的生命周期管理。更多说明，请参见容器服务Kubernetes版。

前提条件

已购买或已升级至PAM轻量版。具体操作，请参见购买实例或升级特权访问管理中心实例。

创建K8s资产

1. 登录特权访问管理中心控制台。

2. 在左侧导航栏，选择资产管理 > 资产运维。

3. 在容器页签，单击创建K8s资产。

4. 在创建K8s资产面板，按照页面引导，配置接入参数。

   

   1. 录入K8s资产的基本信息，单击下一步。

      配置项		描述
      基本信息	应用名称	自定义K8s资产应用名称。长度为2~64个字符，支持中文和大小写英文字母，可包含数字和下划线（_）。
      	资产类型	目前仅支持阿里云ACK产品。
      	区域	选择K8s资产所在地域。
      	集群	选择需要运维的K8s集群。
      	备注信息	输入备注信息。
      选择容器凭据		选择容器凭据，用于登录K8s集群。 如果列表没有容器凭据，您可以单击创建容器凭据，并参考下述说明创建容器凭据。 凭据名称：输入凭据名称。 网络类型：默认为私网，表示PAM通过私网访问K8s集群。 凭据权限：选择特权账户或者普通账户。更多说明，请参见特权账号。 生成方式：选择K8s集群的Kubeconfig生成方式。 手动生成：您需要手动录入K8s集群的Kubeconfig。 自动生成：选择自动生成后，PAM会自动识别所选K8s集群的Kubeconfig。 说明 仅阿里云ACK产品支持自动生成凭据。 Kubeconfig：Kubeconfig中包含了有关集群、用户、命名空间以及身份认证机制的信息，您需要手动输入或自动生成K8s集群的Kubeconfig。

   2. 选择网络域资源，单击下一步。

      PAM会自动识别当前VPC下的网络域。如果未启用，您可以在操作列，单击启用；如果列表没有网络域资源，请您创建该资源，具体操作，请参见新建网络域。

   3. 选择托管K8s资产的层级，单击完成。

      支持托管的维度为集群、命名空间、工作负载。在当前集群详情区域会同步K8s集群详情，请您参考并进行选择。如果选择集群则托管整个集群，选择命名空间则托管您选择的具体的命名空间。

      

      说明

      若该集群下拉取不到数据或托管出现异常，原因可能如下，请您排查后重试：

      • 您的凭据选择有误，请核查您选择的Kubeconfig是否属于该集群。

      • 您的网络环境可能阻止了PAM的访问，请您核查您的K8s资产是否设置了访问控制。

      • 请您选择托管层级时确认该层级下有可运维的容器，否则托管后您可能无法运维。

托管K8s资产

运维K8s资产

1. 登录特权访问管理中心控制台。

2. 在左侧导航栏，选择资产管理 > 资产运维。

3. 在容器页签，定位到目标资产，在操作列，单击远程连接。

4. 在对应的k8s资产页面，选择目标命名空间、状态组，在操作列，单击运维。

   

5. 单击目标容器实例，在运维对话框中，选择资产登录的协议/端口、登录凭据和终端窗口方式，单击连接。

创建容器凭据

您可以将K8s集群的凭据添加到PAM中进行统一管理，以便进行K8s容器资产运维，同时确保敏感信息的安全性。

1. 登录特权访问管理中心控制台。

2. 在左侧导航栏，选择资产管理 > 资产运维。

3. 在容器页签，单击容器凭据管理。

4. 在容器凭据管理面板，单击创建容器凭据。

5. 在创建容器凭据对话框，参考下表配置容器凭据参数，单击确定。

   配置项	描述
   凭据名称	输入凭据名称。
   凭据类型	默认为K8s凭据。
   网络类型	默认为私网，表示PAM通过私网访问K8s集群。
   生成方式	选择K8s集群的Kubeconfig生成方式。 手动生成：您需要手动输入Kubeconfig。 自动生成：您需要选择K8s集群和所属地域，并在Kubeconfig区域单击自动生成，PAM会自动识别所选K8s集群的Kubeconfig。
   Kubeconfig	Kubeconfig中包含了有关集群、用户、命名空间以及身份认证机制的信息，您需要手动输入或自动生成K8s集群的Kubeconfig。
   凭据权限	选择特权账户或者普通账户。更多说明，请参加特权账号。
   备注	输入凭据备注信息。