检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用已有EIP的annotation配置 annotation 是否可选 参数说明 yangtse.io/eip-id 必选 弹性公网IP的ID。 获取方法: 登录弹性公网IP控制台,在弹性公网IP列表单击需要绑定的EIP名称,找到“ID”字段复制即可。 检查Pod的EIP就绪 容器网络控制器会在Pod
使用中)不支持通过Pod修改EIP属性。 对Pod的EIP地址无明确要求的业务不建议配置固定EIP,因为配置了固定EIP的Pod,Pod重建的耗时会略微变长。 配置固定EIP 创建固定EIP的Pod时,填写EIP相关的annotation后,EIP会随Pod自动创建并绑定至该Pod。
在弹出的窗口中选择负载,然后单击“确定”。 协议版本:请根据业务选择不同版本的IP地址,具体请参见如何通过CCE搭建IPv4/IPv6双栈集群?。该功能仅在1.15及以上版本的集群创建时开启了IPv6功能才会显示。 端口配置: 协议:请根据业务的协议类型选择。 服务端口:Ser
给Pod绑定弹性公网IP,可以通过为Pod配置固定弹性公网IP实现,请参见为Pod配置固定EIP。 通过NAT网关访问公网 支持 支持 支持 下面内容以CCE Turbo集群为例,讲解如何通过NAT网关访问公网。NAT网关能够为VPC内的容器实例提供源网络地址转换服务,即SNAT(Source
IP,通过iptables或IPVS规则转到Real Server,从而达到负载均衡的效果。例如:Service有2个EndPoint,但是DNS查询时只会返回Service的地址,具体client访问的是哪个Real Server,是由iptables或IPVS规则来决定的,客户端无法自行选择访问指定的EndPoint。
Kubernetes社区在 kube-apiserver 中发现了一个安全问题,该问题允许聚合 API Server将客户端流量重定向到任意 URL,这可能导致客户端执行意外操作以及将客户端的 API 服务器凭据转发给第三方。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 SSRF CVE-2022-3172
修改入方向的5443端口规则,单击“修改”。 根据需求修改允许访问的源地址。例如,客户端需要访问API Server的IP为100.*.*.*,则可添加5443端口入方向规则的源地址为100.*.*.*。 除客户端IP外,端口还需保留对VPC网段、容器网段和托管网格控制面网段放通,以保证集群内部可访问API
使用共享型ELB对接Pod需要通过节点NodePort转发 容器IP地址管理 需设置单独的容器网段 按节点划分容器地址段,动态分配(地址段分配后可动态增加) 需设置单独的容器网段 按节点划分容器地址段,静态分配(节点创建完成后,地址段分配即固定,不可更改) 容器网段从VPC子网划分,无需设置单独的容器网段
单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。 双向认证:双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA
会因路由跳转导致一定性能损失,且无法获取到客户端源IP。 节点级别:只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载,服务访问没有因路由跳转导致的性能损失,且可以获取到客户端源IP。 端口配置: 协议:TCP。 服务端口:访问Service的端口。 容器端口:容器中
现了较好的兼容性,CCE会定期同步社区bug,升级CoreDNS插件的版本,建议客户定期升级集群的CoreDNS版本。CCE的插件管理中心提供了CoreDNS的安装及升级功能。您可以定义关注集群中的CoreDNS版本,如果版本可以升级请尽快安排业务无缝升级集群中的CoreDNS组件。
节点默认会占用掉3个容器IP地址(网络地址、网关地址、广播地址),因此节点上 可分配给容器使用的IP数量 = 您选择的容器IP数量 - 3,例如上面图中可分配给容器使用的IP数量为 128-3=125。 节点最大实例数说明 在创建节点时,可以配置节点可以创建的最大实例数(maxPod
权轮询、IP hash等。Nginx Ingress在原生的Nginx能力基础上,支持使用一致性哈希方法进行负载均衡。 Nginx默认支持的IP hash方法使用的是线性的hash空间,根据IP的hash运算值来选取后端的目标服务器。但是这种方法在添加删除节点时,所有IP值都需要
= new MasterEIPRequest(); MasterEIPRequestSpecSpec specSpec = new MasterEIPRequestSpecSpec(); specSpec.withId("a757a69e-f920
将不是客户端的原始源IP,要启用保留客户端IP,建议配置externalTrafficPolicy值为local。负载均衡类型的service如要选择保留客户端IP,建议选择独享型负载均衡实例。 共享型ELB实例不支持保留客户端源IP地址 父主题: 服务
21及以上版本的集群支持指定该字段。 vip_address 否 String 负载均衡器的内网IP。仅支持指定IPv4地址,不支持指定IPv6地址。 该IP必须为ELB所在子网网段中的IP。若不指定,自动从ELB所在子网网段中生成一个IP地址。 仅v1.23.11-r0、v1.25
Ingress控制器插件升级后无法使用TLS v1.0和v1.1 问题现象 NGINX Ingress控制器插件升级至2.3.3及以上版本后,如果客户端TLS版本低于v1.2,会导致客户端与NGINX Ingress协商时报错。 解决方法 2.3.3及以上版本的NGINX Ingress默认仅支持TLS v1
21及以上版本的集群支持指定该字段。 vip_address 否 String 负载均衡器的内网IP。仅支持指定IPv4地址,不支持指定IPv6地址。 该IP必须为ELB所在子网网段中的IP。若不指定,自动从ELB所在子网网段中生成一个IP地址。 仅v1.23.11-r0、v1.25
在集群中访问ELB地址时出现无法访问的场景较为常见,这是由于Kubernetes在创建Service时,kube-proxy会把ELB的访问地址作为外部IP(即External-IP,如下方回显所示)添加到iptables或IPVS中。如果客户端从集群内部发起访问ELB地址的请求,该地
节点时钟同步服务器检查异常处理 检查项内容 检查节点时钟同步服务器ntpd或chronyd是否运行正常。 解决方案 问题场景一:ntpd运行异常 请登录该节点,执行systemctl status ntpd命令查询ntpd服务运行状态。若回显状态异常,请执行systemctl restart
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
