检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
S)”,否则监听器端口将无法启用HTTP/HTTPS。 创建方式:本文中以选择已有ELB为例进行说明,关于自动创建的配置参数请参见表1。 端口配置: 协议:请选择TCP协议,选择UDP协议将无法使用HTTP/HTTPS。 服务端口:Service使用的端口,端口范围为1-65535。
-80。 端口 健康检查默认使用业务端口(Service的NodePort或容器端口)作为健康检查的端口;您也可以重新指定端口用于健康检查,重新指定端口会为服务增加一个名为cce-healthz的服务端口配置。 节点端口:使用共享型负载均衡或不关联ENI实例时,节点端口作为健康检
在创建服务界面,访问类型选择“节点访问”,在端口配置中,容器端口和服务端口都设置为8081,单击“确定”。该服务会自动生成节点访问端口,自动生成的节点端口位置请参见图2,本示例中节点访问端口为30327。您可以通过集群任一节点的弹性公网IP和端口号访问该工作负载。 图1 创建节点访问类型Service
Ingress。 仅v1.21及以下集群 kubernetes.io/elb.port String 界面上的对外端口,为注册到负载均衡服务地址上的端口。 取值范围:1~65535。 说明: 部分端口为高危端口,默认被屏蔽,如21端口。 v1.9及以上 kubernetes.io/elb.id String
标移动到节点名称上,查看对应的节点ID。 图2 获取node_id 节点池ID(nodepool_id) 登录CCE控制台,在左侧导航栏中选择“集群管理”。 单击所创建集群的名称,并在左侧选择“节点管理”,切换至“节点池”页签,将光标移动到节点池名称上,查看对应的节点池ID。 图3
cce-service-0 protocol: TCP port: 88 #服务端口号,可自定义 targetPort: 9090 #Prometheus的默认端口号,无需更改 selector:
你可以使用 Ingress 或者 Gateway API 向公众暴露服务。 NodePort:通过每个节点上的 IP 和静态端口(NodePort)暴露服务。 为了让节点端口可用,Kubernetes 设置了集群 IP 地址,这等同于您请求 type: ClusterIP 的服务。 Loa
资源 name: nginx spec: ports: - name: service0 port: 80 # ELB监听器端口 protocol: TCP targetPort: 80 selector: app:
络(hostNetwork)。配置完成后的Pod会占用宿主机的端口,Pod的IP就是宿主机的IP,不会占用容器网络的IP。使用时需要考虑是否与宿主机上的端口冲突,因此一般情况下除非某个特定应用必须使用宿主机上的特定端口,否则不建议使用主机网络。 父主题: 附录
节点不暴露到公网 如非必需,节点不建议绑定EIP,以减少攻击面。 在必须使用EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。 在使用cce集群过程中,由于业务场景需要,在节点上配置了kubeconfig.json文件,kubectl使用该文件中的证书
cce-service-0 protocol: TCP port: 88 #服务端口号,可自定义 targetPort: 9090 #Prometheus的默认端口号,无需更改 selector:
禁用特权容器会使已经配置了特权容器的业务无法正常下发,请排查确认集群所有相关业务均不涉及使用特权容器后再禁用 允许匿名请求 是否启用针对 API 服务器的安全端口的匿名请求 参数名 取值范围 默认值 是否允许修改 作用范围 anonymous-auth false:不允许 true:允许 false
登录节点 前提条件 使用SSH方式登录时,请确认节点安全组已放通SSH端口(默认为22)。详情请参见配置安全组规则。 通过公网使用SSH方式登录时要求该节点(弹性云服务器 ECS)已绑定弹性公网IP。 只有运行中的弹性云服务器才允许用户登录。 Linux操作系统用户名为root。
若openssh版本小于1:8.9p1-3ubuntu0.10,且开放了SSH端口(默认为22),则受该漏洞影响。 查看SSH端口是否开放的命令如下: netstat -tlnp|grep -w 22 若查询结果显示存在SSH端口正在监听,则表示该节点已开放了SSH访问。 漏洞消减方案 对于存量的集群节点,请按以下方法进行修复:
https://access.redhat.com/security/vulnerabilities/tcpsack https://www.debian.org/lts/security/2019/dla-1823 https://wiki.ubuntu.com/SecurityTea
conn_reuse_mode=0时,对于端口复用的连接,IPVS不会主动进行新的调度,也并不会触发结束连接或DROP操作,新连接的数据包会被直接转发到之前使用的后端pod。如果此时后端pod已经被删除或重建就会出现异常,根据当前的实现逻辑,高并发访问Service场景下,不断有端口复用的连接请求发来,
您可以在CCE控制台界面或者使用kubectl命令查找Pod的IP,然后登录到集群内的节点或容器中,使用curl命令等方法手动调用接口,查看结果是否符合预期。 如果容器IP+端口不能访问,建议登录到业务容器内使用“127.0.0.1+端口”进行排查。 登录容器的操作步骤请参见登录容器的方法。
“配置规则”。 修改入方向的5443端口规则,单击“修改”。 根据需求修改允许访问的源地址。例如,客户端需要访问API Server的IP为100.*.*.*,则可添加5443端口入方向规则的源地址为100.*.*.*。 除客户端IP外,端口还需保留对VPC网段、容器网段和托管网
X-Forwarded-Port 获取监听器端口号 开启获取监听器端口号开关,ELB可通过X-Forwarded-Port头字段获取监听器的端口号,传输到后端服务器的报文中。 X-Forwarded-For-Port 获取客户端请求端口号 开启获取客户端请求端口号开关,ELB可通过X
网类型负载均衡器。 端口配置: 对外协议:TCP。 服务端口:本例中设置为8080,ELB将会使用该端口创建监听器,提供外部流量访问入口。 容器端口:容器中应用启动监听的端口,nginx镜像请设置为80。如需使用其他应用,该容器端口需和应用对外提供的监听端口一致。 图3 创建服务
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
