检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
从Pod访问公网 从Pod访问公网的实现方式 从Pod中访问公网地址的实现方式会因集群网络模式的不同而不同,具体请参见表1。 表1 从Pod访问公网的实现方式 实现方式 容器隧道网络 VPC网络 云原生2.0网络 给容器所在节点绑定公网IP 支持 支持 不支持 给Pod绑定弹性公网IP
子网是用来管理弹性云服务器网络平面的一个网络,可以提供IP地址管理、DNS服务,子网内的弹性云服务器IP地址都属于该子网。 图1 VPC网段结构 默认情况下,同一个VPC的所有子网内的弹性云服务器均可以进行通信,不同VPC的弹性云服务器不能进行通信。 不同VPC的弹性云服务器可通过VPC创建对等连接通信。
privateEndpoint String 集群访问的PrivateIP(HA集群返回VIP) publicEndpoint String 集群访问的PublicIP 请求示例 无 响应示例 状态码: 200 表示获取集群访问的地址成功。 { "metadata" : { }
除。 问题解答: 创建ELB时候,如果ELB健康检查失败,后端服务器组会删除,而且后续服务正常以后也不会添加。如果是更新已有的SVC时则不会删除。 添加删除节点的时候,由于集群状态的改变,可能会引起集群内的Node访问方式的改变,为保证服务正常运行,所以ELB会进行一次刷新操作,这个过程类似于更新ELB。
该错误表示IAM用户没有编程访问权限。 解决方案 请联系主账号管理员,登录统一身份认证服务。 找到需要修改的IAM用户,单击用户名称。 修改“访问方式”,同时勾选“编程访问”和“管理控制台访问”。 图1 修改IAM用户访问方式 单击“确定”。 父主题: 权限
节点无法连接互联网(公网),如何排查定位? 当节点无法连接互联网时,请参照如下方法排查。 排查项一:节点是否绑定弹性IP 登录ECS控制台,查看节点对应的弹性云服务器是否已绑定弹性IP。 若弹性IP一栏有IP地址,表示已绑定弹性IP。若没有,请为弹性云服务器绑定弹性IP。 图1 节点是否已绑定弹性IP
是否允许修改 作用范围 type 无 无 允许 CCE Standard/CCE Turbo CCE Standard集群: 弹性云服务器-虚拟机:基于弹性云服务器部署容器服务。 弹性云服务器-物理机:基于擎天架构的服务器部署容器服务。 裸金属服务器:基于裸金属服务器部署容器服务,需要挂载本地盘或支持挂载云硬盘。
权限 CCE权限概述 集群权限(IAM授权) 命名空间权限(Kubernetes RBAC授权) 示例:某部门权限设计及配置 CCE控制台的权限依赖 ServiceAccount Token安全性提升说明 系统委托说明
如需使用证书访问集群,请参考通过X509证书连接集群。 服务端请求处理配置 表1 服务端请求处理配置参数说明 名称 参数 说明 取值 修改类API请求最大并发数 max-mutating-requests-inflight 修改类请求的最大并发数。 当服务器收到的请求数超过此值时,它会拒绝请求。
如果某IAM子用户先配置了集群管理权限和命名空间权限,然后在界面下载kubeconfig认证文件。后面再删除集群管理权限(保留命名空间权限),依然可以使用kubectl来操作Kubernetes集群。因此如需彻底删除用户权限,必须同时删除该用户的集群管理权限和命名空间权限。 场景二 如果某IA
vice配置服务器名称指示(SNI)。 动态调整后端云服务器权重 表6 动态调整后端云服务器权重注解 参数 类型 描述 支持的集群版本 kubernetes.io/elb.adaptive-weight String 根据节点上的Pod数量动态调整ELB后端云服务器的权重。每个Pod收到的负载请求更加均衡。
用户访问集群API Server的方式有哪些? 当前CCE提供两种访问集群API Server的方式: 集群API方式:(推荐)集群API需要使用证书认证访问。直接连接集群API Server,适合大规模调用。 API网关方式:API网关采用token方式认证,需要使用账号信息获
为方便企业中的管理人员对集群中的资源权限进行管理,CCE后台提供了多种维度的细粒度权限策略和管理方式。CCE的权限管理包括“集群权限”和“命名空间权限”两种能力,分别从集群和命名空间两个层面对用户组或用户进行细粒度授权,具体解释如下: 集群权限:是基于IAM系统策略的授权,可以让
略为粒度的权限集,修改为Action(依赖调用的接口对应一个Action)粒度的权限集。如果您已经进行了服务授权,可以一键进行权限优化,优化您授权的权限。 当您同意授权后,将在IAM中自动创建账号委托,将账号内的其他资源操作权限委托给华为云CCE服务和华为云AOM服务进行操作。关
保存退出,等待实例重启完毕即可。 获取访问密钥 登录控制台。 鼠标指向界面右上角的登录用户名,在下拉列表中单击“我的凭证”。 在左侧导航栏单击“访问密钥”。 单击“新增访问密钥”,进入“新增访问密钥”页面。 单击“确定”,下载访问密钥。 使用访问密钥创建Secret 获取访问密钥。 对访问密钥进行bas
通过特权容器功能优化内核参数 前提条件 从客户端机器访问Kubernetes集群,需要使用Kubernetes命令行工具kubectl,请先连接kubectl。详情请参见通过kubectl连接集群。 操作步骤 通过后台创建daemonSet,选择nginx镜像、开启特权容器、配置生命周期、添加hostNetwork:
√ √ 4.18.0-147.5.2.15.h1109.eulerosv2r10.x86_64 裸金属服务器 该服务器的规格信息请参见裸金属服务器实例家族。 表3 裸金属服务器节点操作系统 操作系统 集群版本 CCE Standard集群 CCE Turbo集群 最新内核信息 VPC网络模型
附加到您的云服务器实例(包括弹性云服务器和裸金属服务器)上,实现灵活、高可用的网络方案配置。 弹性网卡类型 主弹性网卡:在创建云服务器实例时,随实例默认创建的弹性网卡称作主弹性网卡。主弹性网卡无法与实例进行解绑。 扩展弹性网卡:您可以创建扩展弹性网卡,将其附加到云服务器实例上,您
需要手动吊销集群访问凭证,以确保集群安全。 吊销集群访问凭证的存在两类场景: 子用户(非管理员):支持吊销自身的集群访问凭证。 主账号或管理员用户(admin用户组用户):支持吊销其他用户或委托账号的集群访问凭证。 吊销集群访问凭证后,该凭证的持有人将无法访问集群,且无法恢复已吊销的凭证,请谨慎操作。
代替。 web-terminal中kubectl具有高级别操作权限,限账号以及具有CCE Administrator权限的IAM用户安装此插件,如需收缩插件中kubectl权限,请参见收缩web-terminal权限操作。 集群必须安装CoreDNS才能使用web-terminal。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
