华为云用户手册

  • 负载均衡器IP 服务对接的负载均衡器实例EIP地址 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.ip 无 无 允许 CCE Standard/ CCE Turbo 指定使用已有的ELB实例IP,若已填写kubernetes.io/elb.id,则以id为准;若只填写了此字段,elb.id会由系统自动填充 配置建议: 建议配置正确的elb的IP信息
  • 会话保持类型 支持基于源IP地址的简单会话保持,即来自同一IP地址的访问请求转发到同一台后端服务器上。 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.session-affinity-mode 不启用:不填写该参数。 开启会话保持:需增加该参数,取值“SOURCE_IP”,表示基于源IP地址。 不启用 允许 CCE Standard/CCE Turbo 支持基于源IP地址的简单会话保持,即来自同一IP地址的访问请求转发到同一台后端服务器上。 当kubernetes.io/elb.lb-algorithm设置为“SOURCE_IP”(源IP算法)时,不支持开启会话保持。
  • ELB企业项目ID 服务对接的负载均衡实例所属的企业项目ID 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.enterpriseID 无 无 允许 CCE Standard/CCE Turbo 仅自动创建ELB的场景:选填。 v1.15及以上版本的集群支持此字段,v1.15以下版本默认创建到default项目下。 为ELB企业项目ID,选择后可以直接创建在具体的ELB企业项目下。 该字段不传(或传为字符串'0'),则将资源绑定给默认企业项目。
  • 负载均衡器类型 服务对接的负载均衡器类型,支持对接共享型ELB实例和独享型ELB实例,并且支持自动创建ELB实例 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.class 支持elbv3局点:performance 不支持elbv3局点:union performance 允许 CCE Standard/CCE Turbo 请根据不同的应用场景和功能需求选择合适的负载均衡器类型。 取值如下: union:共享型负载均衡。 performance:独享型负载均衡,仅支持1.17及以上集群(推荐) 配置建议: 推荐配置为performance,独享型ELB实例支持原地址保持,直通容器等高级特性 共享型ELB不支持源地址保持,在CCE Turbo场景下不支持直通网络,只支持对接nodeport类型服务
  • CPU管理策略配置 提供的CPU管理策略为应用分配独占的CPU核(即CPU绑核),提升应用性能,减少应用的调度延迟。 参数名 取值范围 默认值 是否允许修改 作用范围 cpu-manager-policy none/static none 允许 CCE Standard/CCE Turbo none: 关闭工作负载实例独占 CPU 的功能,优点是 CPU 共享池的可分配核数较多 static: 开启工作负载实例独占 CPU,适用于对 CPU 缓存和调度延迟敏感的场景
  • 拓扑管理策略 拓扑管理策略配置可提升容器性能 参数名 取值范围 默认值 是否允许修改 作用范围 topology-manager-policy none', 'best-effort', 'restricted', 'single-numa-node' none 允许 CCE Standard/CCE Turbo 拓扑管理器策略: none 策略:默认策略,不执行任何拓扑对齐 best-effort 策略:在这种模式下,kubelet 将为Pod 分配NUMA 对齐的CPU 和设备资源。 restricted 策略:在这种模式下,kubelet 仅为Pod 分配NUMA 对齐的CPU 和设备资源。如果节点资源不存在符合NUMA对齐资源Pod将会被拒绝。 single-numa-node策略:在该模式下 kubelet 仅允许为 Pod分配单一 NUMA 对齐的CPU 和设备资源。如果节点资源不存在符合单一NUMA对齐资源Pod将会被拒绝。
  • 硬驱逐配置项 该配置是一组驱逐阈值集合,满足这些阈值将会触发Pod驱逐 参数名 取值范围 默认值 是否允许修改 作用范围 eviction-hard 无 "memory.available": "100Mi", "nodefs.available": "10%", "nodefs.inodesFree": "5%", "imagefs.available": "15%", 允许 CCE Standard/CCE Turbo 满足设置的阈值后会立即驱逐节点上的 Pod。可配置的阈值有: memory.available,节点可用内存值 nodefs.available,Kubelet 使用的文件系统的可用容量的百分比 nodefs.inodesFree,Kubelet 使用的文件系统的可用inodes数的百分比 imagefs.available,容器运行时存放镜像等资源的文件系统的可用容量的百分比 imagefs.inodesFree,容器运行时存放镜像等资源的文件系统的可用inodes数的百分比 pid.available,留给分配 Pod 使用的可用 PID 数的百分比
  • 允许使用的不安全系统配置 允许使用的不安全系统配置列表 参数名 取值范围 默认值 是否允许修改 作用范围 allowed-unsafe-sysctls 无 [] 允许 CCE Standard/CCE Turbo 不安全 sysctls 或 sysctl 参数的允许列表(以“”结尾),以逗号分隔。不安全的 sysctl 参数有“kernel.shm”、“kernel.msg*”、“kernel.sem”、“fs.mqueue.”和“net.”。这些sysctl 参数都支持容器化,但是默认容器内不允许配置
  • 是否开启串行拉取镜像 开启开关每次只能拉取一个镜像 参数名 取值范围 默认值 是否允许修改 作用范围 serialize-image-pulls false/true 集群版本为v1.21.12-r0、v1.23.11-r0、v1.25.6-r0、v1.27.3-r0、v1.28.1-r0以下:默认为开启(参数值为true) 集群版本为v1.21.12-r0、v1.23.11-r0、v1.25.6-r0、v1.27.3-r0、v1.28.1-r0及以上:默认为关闭(参数值为false) 允许 CCE Standard/CCE Turbo 配置建议: 建议关闭,开启串行拉取镜像会影响容器启动速度。
  • 允许匿名请求 是否启用针对 API 服务器的安全端口的匿名请求 参数名 取值范围 默认值 是否允许修改 作用范围 anonymous-auth false:不允许 true:允许 false 允许 CCE Standard/CCE Turbo 未被其他身份认证方法拒绝的请求被当做匿名请求。 匿名请求的用户名为 system:anonymous, 用户组名为 system:unauthenticated 配置建议: 如涉及使用匿名(不携带身份凭证)访问的场景(如使用kubeadm过程中涉及部分查询操作),可以按需开启匿名访问 开启匿名访问的场景下请对匿名请求的用户名和分组(system:anonymous/system:unauthenticated)对应RBAC权限进行严格管控,避免对匿名请求授予的权限过大引入安全风险
  • 允许使用特权容器 是否允许在pod中配置使用特权容器 参数名 取值范围 默认值 是否允许修改 作用范围 allow-privileged false:不允许 true:允许 true 允许 CCE Standard/CCE Turbo 是否允许在pod中配置使用特权容器 配置建议: 如用户出于安全原因,严格禁止使用特权容器,可以选择禁用 禁用特权容器会使已经配置了特权容器的业务无法正常下发,请排查确认集群所有相关业务均不涉及使用特权容器后再禁用
  • 密钥类型 密钥的子类型 参数名 取值范围 默认值 是否允许修改 作用范围 type Opaque:一般密钥类型。 kubernetes.io/dockerconfigjson:存放拉取私有仓库镜像所需的认证信息。 kubernetes.io/tls:Kubernetes的TLS密钥类型,用于存放7层负载均衡服务所需的证书 IngressTLS:CCE提供的TLS密钥类型,用于存放7层负载均衡服务所需的证书。 其他:若需要创建其他自定义类型的密钥,可手动输入密钥类型。 无 允许 - 镜像仓库凭据、负载均衡证书等常见密钥应用场景存在相应的分类,系统会对此类型密钥的数据进行基本的格式校验,无明确分类的密钥可选择一般密钥类型 配置建议: 应用场景明确的密钥建议优先指定为相应密钥类型
  • 证书认证 参数名 取值范围 默认值 是否允许修改 作用范围 Authentication.mode 无 无 允许 CCE Standard/CCE Turbo 集群认证模式。 kubernetes 1.11及之前版本的集群支持“x509”、“rbac”和“authenticating_proxy”,默认取值为“x509”。 kubernetes 1.13及以上版本的集群支持“rbac”和“authenticating_proxy”,默认取值为“rbac”。
  • 支持网络类型 自动创建的独享型负载均衡器属性:inner为私网,public为公网 参数名 取值范围 默认值 是否允许修改 作用范围 type inner/public inner 允许 CCE Standard/CCE Turbo 设置负载均衡器支持的网络类型,设置为inner,负载均衡器只支持ipv4私网;设置pulic,负载均衡器支持ipv4私网和ipv4公网。设置public会创建对应的弹性公网ip,并收取一定费用。
  • 公网带宽大小 公网独享型负载均衡器公网带宽的大小 参数名 取值范围 默认值 是否允许修改 作用范围 bandwidth_size 1Mbit/s~2000Mbit/s 无 允许 CCE Standard/CCE Turbo 带宽大小,默认1Mbit/s~2000Mbit/s,请根据Region带宽支持范围设置。 调整带宽时的最小单位会根据带宽范围不同存在差异。 小于等于300Mbit/s:默认最小单位为1Mbit/s。 300Mbit/s~1000Mbit/s:默认最小单位为50Mbit/s。 大于1000Mbit/s:默认最小单位为500Mbit/s。
  • 四层负载均衡实例规格名称。 自动创建的独享型负载均衡器四层规格名称 参数名 取值范围 默认值 是否允许修改 作用范围 l4_flavor_name 无 无 允许 CCE Standard/CCE Turbo 四层负载均衡实例规格名称。 可以通过查询规格列表获取所有支持的类型。 弹性规格:适用于业务用量波动较大的场景,按实际使用量收取每小时使用的容量费用。v1.21.10-r10、v1.23.8-r10、v1.25.3-r10及以上版本集群支持使用弹性规格。 固定规格:适用于业务用量较为稳定的场景,按固定规格折算收取每小时使用的容量费用。 独享型负载均衡器独有字段。
  • 七层负载均衡实例规格名称。 自动创建的独享型负载均衡器七层规格名称 参数名 取值范围 默认值 是否允许修改 作用范围 l7_flavor_name 无 无 允许 CCE Standard/CCE Turbo 七层负载均衡实例规格名称。 可以通过查询规格列表获取所有支持的类型。 弹性规格:适用于业务用量波动较大的场景,按实际使用量收取每小时使用的容量费用。v1.21.10-r10、v1.23.8-r10、v1.25.3-r10及以上版本集群支持使用弹性规格。 固定规格:适用于业务用量较为稳定的场景,按固定规格折算收取每小时使用的容量费用。 独享型负载均衡器独有字段,必须与l4_flavor_name对应规格的类型一致,即都为弹性规格或都为固定规格。
  • 双栈类型负载均衡器所在子网的IPv6网络ID。 双栈类型负载均衡器所在子网的IPv6网络ID 参数名 取值范围 默认值 是否允许修改 作用范围 ipv6_vip_virsubnet_id 集群VPC下所有子网 无 允许 CCE Standard/CCE Turbo 双栈类型负载均衡器所在子网的IPv6网络ID。 使用说明: vpc_id,vip_subnet_cidr_id,ipv6_vip_virsubnet_id不能同时为空,且需要在同一个vpc下。 需要对应的子网开启IPv6。
  • 负载均衡器IP 路由对接的负载均衡器实例EIP地址 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.ip 无 无 允许 CCE Standard/CCE Turbo 指定使用已有的ELB实例IP,若已填写kubernetes.io/elb.id,则以id为准;若只填写了此字段,elb.id会由系统自动填充 配置建议: 建议配置正确的elb的IP信息
  • 客户端连接空闲超时时间 客户端连接空闲超时时间,在超过keepalive_timeout时长一直没有请求, 负载均衡会暂时中断当前连接,直到下一次请求时重新建立新的连接。 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.keepalive_timeout 10-4000,单位为s 300 允许 CCE Standard/CCE Turbo 客户端连接空闲超时时间,在超过keepalive_timeout时长一直没有请求, 负载均衡会暂时中断当前连接,直到下一次请求时重新建立新的连接。 配置建议: 取值范围为10-4000,单位为s。默认值为300s UDP监听器不支持此字段
  • ELB企业项目ID 路由对接的负载均衡实例所属的企业项目ID 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.enterpriseID 无 无 允许 CCE Standard/CCE Turbo 仅自动创建ELB的场景:选填。 v1.15及以上版本的集群支持此字段,v1.15以下版本默认创建到default项目下。 为ELB企业项目ID,选择后可以直接创建在具体的ELB企业项目下。 该字段不传(或传为字符串'0'),则将资源绑定给默认企业项目。
  • 负载均衡器类型 路由对接的负载均衡器类型,支持对接共享型ELB实例和独享型ELB实例,并且支持自动创建ELB实例 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.class 支持elbv3局点:performance 不支持elbv3局点:union performance 允许 CCE Standard/CCE Turbo 请根据不同的应用场景和功能需求选择合适的负载均衡器类型。 取值如下: union:共享型负载均衡。 performance:独享型负载均衡,仅支持1.17及以上集群(推荐) 配置建议: 推荐配置为performance,独享型ELB实例支持原地址保持,直通容器等高级特性 共享型ELB不支持源地址保持,在CCE Turbo场景下不支持直通网络,只支持对接nodeport类型服务
  • 访问模式 访问模式包含了PVC可以被挂载的方式 参数名 取值范围 默认值 是否允许修改 作用范围 accessModes 两种模式:ReadWriteMany, ReadWriteOnce 无 支持初始化时配置,不支持后续修改 - 访问模式包含了卷可以被挂载的方式。CCE当前支持ReadWriteMany, ReadWriteOnce两种。ReadWriteMany指以读写方式挂载到多个节点,ReadWriteOnce指以读写方式挂载到单个节点。 配置建议: 根据存储卷类型进行配置。如块存储及本地持久卷存储配置ReadWriteOnce,文件存储及对象存储配置ReadWriteMany
  • 安全策略 路由对接的监听器使用的安全策略 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.tls-ciphers-policy tls-1-0-inherit,tls-1-0, tls-1-1, tls-1-2,tls-1-2-strict,tls-1-2-fs,tls-1-0-with-1-3, tls-1-2-fs-with-1-3, hybrid-policy-1-0 tls-1-2 允许 CCE Standard/CCE Turbo 监听器使用的安全策略。取值:tls-1-0-inherit,tls-1-0, tls-1-1, tls-1-2,tls-1-2-strict,tls-1-2-fs,tls-1-0-with-1-3, tls-1-2-fs-with-1-3, hybrid-policy-1-0。 使用说明: 仅对HTTPS协议类型的监听器且关联LB为独享型时有效。 QUIC监听器不支持该字段。 若同时设置了security_policy_id和tls_ciphers_policy,则仅security_policy_id生效。 加密套件的优先顺序为ecc套件、rsa套件、tls1.3协议的套件(即支持ecc又支持rsa) 配置建议: 在加密套件支持的情况下,请尽量使用安全级别高的安全策略 缺省支持的安全策略为tls-1-2,客户端需配合支持安全策略类型
  • 客户端请求超时时间 等待客户端请求超时时间 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.client_timeout 1-300,单位为s 60s 允许 CCE Standard/CCE Turbo 等待客户端请求超时时间,包括两种情况: 读取整个客户端请求头的超时时长:如果客户端未在超时时长内发送完整个请求头,则请求将被中断 两个连续body体的数据包到达LB的时间间隔,超出client_timeout将会断开连接。 取值范围为1-300s,默认值为60s。 使用说明:仅协议为HTTP/HTTPS的监听器支持该字段。 配置建议: 取值范围为1-300s,默认值为60s 仅协议为HTTP/HTTPS的监听器支持该字段
  • 后端服务器响应超时时间 等待后端服务器响应超时时间 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.member_timeout 1-300,单位为s 60s 允许 CCE Standard/CCE Turbo 等待后端服务器响应超时时间。请求转发后端服务器后,在等待超时member_timeout时长没有响应,负载均衡将终止等待,并返回 HTTP504错误码。 取值:1-300s,默认为60s。 使用说明:仅支持协议为HTTP/HTTPS的监听器。 配置建议: 取值:1-300s,默认为60s 仅支持协议为HTTP/HTTPS的监听器
  • 自定义安全策略 路由对接的监听器使用的自定义安全策略的ID 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.security_policy_id 无 无 允许 CCE Standard/CCE Turbo 自定义安全策略的ID。 使用说明: 仅对HTTPS协议类型的监听器且关联LB为独享型时有效。 QUIC监听器不支持该字段。 若同时设置了security_policy_id和tls_ciphers_policy,则仅security_policy_id生效。 加密套件的优先顺序为ecc套件、rsa套件、tls1.3协议的套件 (即支持ecc又支持rsa) 请配置正确的安全策略ID
  • TLS证书 监听器使用的服务器证书信息 参数名 取值范围 默认值 是否允许修改 作用范围 spec.tls[].secrectName 无 无 允许 CCE Standard/CCE Turbo 监听器使用的服务器证书信息,此配置方式和tls-certificate-ids选其一。需要创建kubernetes.io/tls或者IngressTLS类型的secret存放监听器的证书信息 推荐您使用对接已有证书的方式配置
  • 客户端连接空闲超时时间 客户端连接空闲超时时间,在超过keepalive_timeout时长一直没有请求, 负载均衡会暂时中断当前连接,直到下一次请求时重新建立新的连接。 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.keepalive_timeout 0-4000,单位为s 60s 允许 CCE Standard/CCE Turbo 客户端连接空闲超时时间,在超过keepalive_timeout时长一直没有请求, 负载均衡会暂时中断当前连接,直到下一次请求时重新建立新的连接。 取值: HTTP/HTTPS协议,取值范围为(0-4000s)默认值为60s。 UDP监听器不支持此字段。 配置建议: 取值范围为(0-4000s)默认值为60s UDP监听器不支持此字段
  • 是否开启HTTP/2 客户端与LB之间的HTTPS请求的HTTP2功能的开启状态。 开启后,可提升客户端与LB间的访问性能,但LB与后端服务器间仍采用HTTP1.X协议 参数名 取值范围 默认值 是否允许修改 作用范围 k8s annotation: kubernetes.io/elb.http2-enable true/false false 允许 CCE Standard/CCE Turbo 客户端与LB之间的HTTPS请求的HTTP2功能的开启状态。 开启后,可提升客户端与LB间的访问性能,但LB与后端服务器间仍采用HTTP1.X协议。 使用说明: 仅HTTPS协议监听器有效。 仅HTTPS协议的监听器生效
共100000条
提示

您即将访问非华为云网站,请注意账号财产安全