检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
16.10 CCE集群控制面已经通过安全组进行防护,只允许从租户节点或者相邻节点访问安全端口,默认安全。 集群node节点上系统组件监听在127.0.0.1的端口只涉及健康检查、监控信息查询等请求,不会有信息泄露风险。 综上,该CVE对CCE集群影响不大。 漏洞修复方案 目前官方
IP和端口,从而让Service在节点上可以被查询到。 下图是一个实际访问Service的图示,Pod X访问Service(10.247.124.252:8080),在往外发数据包时,在节点上根据iptables规则目的IP:Port被随机替换为Pod1的IP:Port,从而通过Service访问到实际的Pod。
集群节点如何不暴露到公网? 问题描述: 集群节点如何不暴露到公网? 问题解决: 如果不需要访问集群节点的22端口,可在安全组规则中禁用22端口的访问。 如非必须,集群节点不建议绑定EIP。 如有远程登录集群节点的需求,推荐使用华为云堡垒机服务作为中转连接集群节点。 父主题: 安全加固
修改最大文件句柄数 最大文件句柄数即打开文件数的最大限制,Linux系统中包含两个文件句柄限制:一个是系统级的,即所有用户的进程同时打开文件数的上限;一种是用户级的,即单个用户进程打开文件数的上限。但是在容器中,还有另一个文件句柄限制,即容器内部单进程最大文件句柄数。 修改节点系
制同时打开的实例上限数量为15个。 使用CloudShell登录容器 CloudShell基于VPCEP实现,在CloudShell中使用kubectl访问集群需要在集群控制节点的安全组(安全组名称:集群名称-cce-control-随机数)中放通5443端口。5443端口默认对
Ingress中一条转发策略的访问后端目标服务的名称配置 目标服务的访问端口 路由转发策略的访问端口 参数名 取值范围 默认值 是否允许修改 作用范围 spec.rules[].http.paths[].backend.service.port.number 无 无 允许 CCE Standard/CCE
器退出,就会产生此错误。 TCP健康检查的机制 ELB节点根据健康检查配置,向后端服务器(IP+健康检查端口)发送TCP SYN报文。 后端服务器收到请求报文后,如果相应的端口已经被正常监听,则会返回SYN+ACK报文。 如果在超时时间内没有收到后端服务器的SYN+ACK报文,则
集群类型 ELB类型 放通安全组 协议端口 放通源地址网段 CCE Standard 共享型ELB 节点安全组,名称规则默认是{集群名}-cce-node-{随机ID} 如果集群中绑定了自定义的节点安全组,请根据实际进行选择。 ICMP的全部端口 共享型ELB网段100.125.0
cloudflare.docker.com,端口为https默认端口443。 在需要下载第三方镜像的节点上加载第三方镜像服务器的根证书。 EulerOS, CentOS节点执行如下命令,{server_url}:{server_port}需替换成步骤1中地址和端口,如 production.cloudflare
Jenkins容器镜像有两个端口:8080和50000,需要分别配置。其中8080端口供Web登录使用,50000端口供Master和Agent连接使用。 本例中创建了两个Service: 负载均衡 ( LoadBalancer ):仅用于提供Web的外部访问,使用8080端口。您也可以选择使用“节点访问
组名称:集群名称-cce-control-随机数)中放通如下网段访问5443端口。5443端口默认对所有网段放通,如果您对安全组做过加固,当出现在CloudShell中无法访问集群时,请检查5443端口是否放通了198.19.0.0/16网段。 集群必须安装CoreDNS才能使用CloudShell。
容器端口:工作负载程序实际监听的端口,需用户确定。例如nginx默认使用80端口。 服务端口:Service使用的端口,端口范围为1-65535。 负载均衡服务支持创建某个端口范围的监听器,您最多可为每个监听器添加10个互不重叠的监听端口段。 为负载均衡服务配置区间端口监听需满足以下条件:
MinIO:该参数值需根据MinIO安装节点的IP及暴露端口确定,参数值为“http://{minio所在节点的eip}:9000”。 说明: s3Url中的访问端口需填写MinIO的API端口,而非console端口。MinIO API端口默认为9000。 访问集群外安装的MinIO时,需填写其公网IP地址。
重定向至HTTPS:开启后进行HTTPS端口配置。 对外端口:HTTPS协议的端口。 证书来源:支持TLS密钥和ELB服务器证书。 服务器证书:使用在ELB服务中创建的证书。 如果您没有可选择的ELB证书,可前往ELB服务创建,详情请参见创建证书。 前端协议:“HTTP” 对外端口:80 重定向至HTTPS:开启
S)”,否则监听器端口将无法启用HTTP/HTTPS。 创建方式:本文中以选择已有ELB为例进行说明,关于自动创建的配置参数请参见表1。 端口配置: 协议:请选择TCP协议,选择UDP协议将无法使用HTTP/HTTPS。 服务端口:Service使用的端口,端口范围为1-65535。
**.**.**' //宿主机外部IP,如EIP gitlab_rails['gitlab_shell_ssh_port'] = 222 //此端口是启动容器时的端口映射,222->22 保存修改内容。 重启容器。 docker restart gitlab 使用浏览器访问“ECS
服务发布到ELB,ELB的后端为何会被自动删除? 问题描述: 服务发布到ELB,工作负载已正常,但服务的pod端口未及时发布出来,ELB里的后端会被自动删除。 问题解答: 创建ELB时候,如果ELB健康检查失败,后端服务器组会删除,而且后续服务正常以后也不会添加。如果是更新已有的SVC时则不会删除。
全组关联CCE控制节点。 图1 查看集群安全组 单击用户节点安全组,确保含有如下规则允许Master节点使用ICMP协议访问节点。 图2 Node节点安全组 若不含有该规则请为Node安全组添加该放通规则,协议端口选择“基本协议/ICMP”,端口号为“全部”,源地址选择“安全组”
目标服务名称:请选择已有Service或新建Service。页面列表中的查询结果已自动过滤不符合要求的Service。 目标服务访问端口:可选择目标Service的访问端口。 域名:example.com 路径匹配规则:前缀匹配 路径:/ 目标服务名称:nginx 目标服务访问端口:80 图1 使用TLS类型的密钥证书配置SNI
S)”,否则监听器端口将无法启用HTTP/HTTPS。 创建方式:本文中以选择已有ELB为例进行说明,关于自动创建的配置参数请参见表1。 端口配置: 协议:请选择TCP协议,选择UDP协议将无法使用HTTP/HTTPS。 服务端口:Service使用的端口,端口范围为1-65535。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
