检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
修改入方向的5443端口规则,单击“修改”。 根据需求修改允许访问的源地址。例如,客户端需要访问API Server的IP为100.*.*.*,则可添加5443端口入方向规则的源地址为100.*.*.*。 除客户端IP外,端口还需保留对VPC网段、容器网段和托管网格控制面网段放通,以保证集群内部可访问API
CE集群或容器时,限制同时打开的实例上限数量为15个。 使用CloudShell连接集群 CloudShell是一款用于管理与运维云资源的网页版Shell工具,CCE支持使用CloudShell连接集群,如图1所示,单击“命令行工具”即可在CloudShell中使用kubectl访问集群。
kubectl get hpa 压力测试验证 登录集群节点,对/home路径进行压力测试。 ab -c 50 -n 5000 test.example.com/home 查看HPA情况 kubectl get hpa 登录集群节点,对根路径进行压力测试。 ab -c 50 -n 5000
为Nginx Ingress配置跨域访问 在Web开发中,由于浏览器的同源策略,一个域下的网页通常不能直接请求另一个域下的资源。CORS(跨资源共享,Cross-Origin Resource Sharing)提供了一种安全的方式来绕过这个限制,允许跨域请求。 使用CORS允许跨域访问的场景较多,可能的场景如下:
为ELB Ingress配置跨域访问 在Web开发中,由于浏览器的同源策略,一个域下的网页通常不能直接请求另一个域下的资源。CORS(跨资源共享,Cross-Origin Resource Sharing)提供了一种安全的方式来绕过这个限制,允许跨域请求。 使用CORS允许跨域访问的场景较多,可能的场景如下:
的其它服务被攻击的风险。 启用企业主机安全服务(HSS) 企业主机安全服务(HSS)拥有主机管理、风险预防、入侵检测、高级防御、安全运营、网页防篡改功能,能够全面识别并管理主机中的信息资产,实时监测主机中的风险并阻止非法入侵行为。推荐启用HSS服务保护用户CCE集群下的主机。HSS服务以及使用方法请参考企业主机安全
客户端 优化域名解析请求 选择合适的镜像 避免IPVS缺陷导致的DNS概率性解析超时 使用节点DNS缓存NodeLocal DNSCache 及时升级集群中的CoreDNS版本 谨慎调整VPC和虚拟机的DNS配置 父主题: CoreDNS配置优化实践
应网段: 请求端集群为VPC网络模型时,目的端集群的节点安全组需放通请求端集群的VPC网段(包含节点子网)和容器网段。 请求端集群为容器隧道网络模型时,目的端集群的节点安全组需放通请求端集群的VPC网段(包含节点子网)。 请求端集群为云原生网络2.0模型时,目的端集群的ENI安全
例如,您可以通过安装后执行脚本创建iptables规则,限制每分钟最多只能有25个TCP协议的数据包通过端口80进入,并且在超过这个限制时,允许最多100个数据包通过,以防止DDoS攻击。 iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst
例如,您可以通过安装后执行脚本创建iptables规则,限制每分钟最多只能有25个TCP协议的数据包通过端口80进入,并且在超过这个限制时,允许最多100个数据包通过,以防止DDoS攻击。 iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst
通过Helm v2客户端部署应用 CCE从2022年9月开始,各region将逐步切换至Helm v3。模板管理不再支持Helm v2版本的模板,若您在短期内不能切换至Helm v3,可通过Helm v2 客户端在后台管理v2版本的模板。 前提条件 在CCE中创建的Kuberne
pass-through访问示例 对于CCE集群: 集群内部客户端访问LB类型Service时,访问请求默认是通过集群服务转发规则(iptables或IPVS)转发到后端的容器实例。 当LB类型Service配置elb.pass-through后,集群内部客户端访问Service地址时会先访问到ELB,
通过模板包部署Nginx Ingress Controller CoreDNS配置优化实践 CCE Turbo配置容器网卡动态预热 集群通过企业路由器连接对端VPC 在VPC网络集群中访问集群外地址时使用Pod IP作为客户端源IP
通过Helm v3客户端部署应用 前提条件 在CCE中创建的Kubernetes集群已对接kubectl,具体请参见使用kubectl连接集群。 部署Helm时如果需要拉取公网镜像,请提前为节点绑定弹性公网IP。 安装Helm v3 本文以Helm v3.3.0为例进行演示。 如
Pair)与外部通信,Veth Pair像一根网线,一端在Pod内部,一端在Pod外部。同一个节点上的Pod通过网桥(Linux Bridge)通信,如下图所示。 图1 同一个节点中的Pod通信 在同一节点上的Pod会通过Veth设备将一端连接到网桥,且它们的IP地址是通过网桥动态获取的
EIP配置DDoS高防服务或设置安全组规则。 图1 集群连接信息 您需要先下载kubectl以及配置文件,复制到您的客户端机器,完成配置后,即可以访问Kubernetes集群。使用kubectl连接集群的步骤如下: 下载kubectl 您需要准备一台可访问公网的客户端计算机,并通
服务端 监控CoreDNS运行状态 调整CoreDNS部署状态 合理配置CoreDNS 父主题: CoreDNS配置优化实践
HTTPS(集成SSL)支持全链路HTTPS、SNI多证书、RSA、ECC双证、TLS 1.3协议和TLS算法套件选择。 支持WAF防火墙防护。 支持DDos防护。 支持黑白名单功能。 支持自定义安全策略。 服务治理 服务发现支持K8s。 服务灰度支持金丝雀发布。 服务高可用支持限流。 服务发现支持K8s。
定义证书进行认证。 您需要分别上传自己的CA根证书、客户端证书和客户端证书私钥。 注意: 请上传小于1MB的文件,CA根证书和客户端证书上传格式支持.crt或.cer格式,客户端证书私钥仅支持上传未加密的证书私钥。 客户端证书有效期需要5年以上。 上传的CA根证书既给认证代理使用
++++ writing new private key to 'ca.key' ----- 执行以下命令,创建Server端证书。 执行以下命令,生成Server端证书的请求文件。 openssl req -new -newkey rsa:4096 -keyout server.key
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
