检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
择多个IP地址组,最多同时选择5个。 证书来源:支持TLS密钥和ELB服务器证书。 TLS密钥:创建密钥证书的方法请参见创建密钥。 ELB服务器证书:使用在ELB服务中创建的证书。 服务器证书:负载均衡器创建HTTPS协议监听时需要绑定证书,以支持HTTPS数据传输加密认证。 同
kube-apiserver 并更新集群访问证书(kubeconfig),请避免在此期间操作集群。 认证鉴权 CCE支持下载X509证书,证书中包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。 如需使用证书访问集群,请参考通过X509证书连接集群。 CCE
使用安全组策略为工作负载绑定安全组 云原生网络2.0网络模式下,Pod使用的是VPC的弹性网卡/辅助弹性网卡,可直接绑定安全组,绑定弹性公网IP。为方便用户在CCE内直接为Pod关联安全组,CCE新增了一个名为SecurityGroup的自定义资源对象。通过SecurityGro
可见PVC先绑定PV创建云硬盘会导致问题。 延迟绑定的云硬盘StorageClass 在集群中查看StorageClass,可以看到csi-disk-topology的绑定模式为WaitForFirstConsumer,表示等有Pod使用这个PVC时再创建PV并绑定,也就是根据Pod的信息创建PV以及底层存储资源。
保持一致,用户在节点创建完成后应根据自身安全诉求进行安全加固。 CCE提供以下建议的加固方法: 通过“创建节点”的“安装后执行脚本”功能,在节点创建完成后,执行命令加固节点。具体操作步骤参考创建节点的“云服务器高级设置”的“安装后执行脚本”。“安装后执行脚本”的内容需由用户提供。
集群管理 创建集群 获取指定的集群 获取指定项目下的集群 更新指定的集群 删除集群 集群休眠 集群唤醒 获取集群证书 吊销用户的集群证书 变更集群规格 获取任务信息 绑定、解绑集群公网apiserver地址 获取集群访问的地址 查询集群日志配置信息 配置集群日志 获取分区列表 创建分区
PC下的弹性负载均衡器绑定,支持在同一个ELB实例(同一IP)下进行不同域名、端口和转发策略的设置。ELB Ingress Controller的工作原理如下: 用户创建Ingress资源,在Ingress中配置流量访问规则,包括负载均衡器、访问路径、SSL以及访问的后端Service端口等。
B Ingress支持的Service类型。 已准备可信的证书,您可以从证书提供商处获取证书。操作详情请参见购买SSL证书。 约束与限制 仅当负载均衡端口使用HTTPS协议时,支持使用HTTP/2功能。 配置HTTP/2后,如果您在CCE控制台删除开启HTTP/2的高级配置或在Y
双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端身份。CA证书又称客户端CA公钥证书,用于验证客户端证书的签发者;在开启HTTPS双向认证功能时,只有当客户端能够出具指定CA签发的证书时,HTTPS连接才能成功。 服务器证书:使用HTTPS协
当您使用内网访问时,请确保客户端与待访问集群在同一VPC内。 当您使用公网访问时,请确保客户端具备访问公网的能力,并且待访问集群已绑定公网地址。关于集群绑定公网地址的具体步骤,请参见为API Server绑定EIP。 绑定公网集群的kube-apiserver将会暴露到互联网,存在被攻击的风险,建议对kube-ap
集群(最大50节点)。 small:表示集群支持管理的最大节点规模为50节点。 medium:表示集群支持管理的最大节点规模为200节点。 large:表示集群支持管理的最大节点规模为1000节点。 xlarge:表示集群支持管理的最大节点规模为2000节点。 version String
服务加入Istio后,如何获取客户端真实源IP? 问题现象 服务启用Istio后,访问日志中无法获取到客户端源IP。 解决方案 本文以绑定ELB类型Service的nginx应用为例,详细步骤如下: ELB侧开启获取客户端IP 独享型ELB默认开启源地址透传功能,无需手动开启。 在管理控制台左上角单击图标,选择区域和项目。
升级后验证 集群状态检查 节点状态检查 跳过节点检查 业务检查 新建节点检查 新建Pod检查 父主题: 升级集群
io/tls或IngressTLS类型时,上传证书文件和私钥文件。 说明: 证书是自签名或CA签名过的凭据,用来进行身份认证。 证书请求是对签名的请求,需要使用私钥进行签名。 密钥标签 密钥的标签。键值对形式,输入键值对后单击“确认添加”。 配置完成后,单击“确定”。 密钥列表中会出现新创建的密钥。
使用注解为Pod绑定安全组 使用场景 云原生网络2.0网络模式下,Pod使用的是VPC的弹性网卡/辅助弹性网卡,可以通过配置Pod的annotation为Pod配置安全组。 支持两种方式的安全组配置: Pod的网卡使用annotation配置的安全组,对应annotation配置:yangtse
为什么修改子网DNS配置后,无法解析租户区域名? 问题描述 用户集群子网DNS配置,增加了DNS服务器配置,如114.114.114.114,该域名无法解析租户区域名。 根因分析 CCE会将用户的子网DNS信息配置到node节点上,coredns插件中也是使用该配置信息,因此会导
Pod。 验证命名空间/工作负载是否绑定容器网络配置 您可以通过以下步骤确认工作负载是否成功绑定容器网络配置中的子网和安全组。如果需要验证命名空间是否绑定容器网络配置,您可以查看该命名空间中的具体工作负载是否绑定子网和安全组。 验证子网是否绑定成功。 查看工作负载中Pod对应的IP地址。
查看集群“概览”页,在右边“连接信息”下公网地址一栏,单击“绑定”。 选择一个已有的弹性公网IP。如果无可用IP,可单击“创建弹性IP”前往EIP控制台进行创建。 通过绑定EIP实现公网访问,集群存在风险,建议绑定的EIP配置DDoS高防服务或配置API Server访问策略。 绑定EIP将会短暂重启集群API
不建议修改,请自行恢复。 通过ELB的控制台修改CCE管理的ELB证书 在集群升级等需要重启控制节点的场景,后端服务器组中的后端服务器会被CCE侧重置。 通过Ingress的YAML来自动管理证书。 日志 表5 日志 高危操作 导致后果 误操作后解决方案 删除宿主机/tmp/ccs-log-collector/pos目录
NGINX Ingress控制器插件升级后无法使用TLS v1.0和v1.1 问题现象 NGINX Ingress控制器插件升级至2.3.3及以上版本后,如果客户端TLS版本低于v1.2,会导致客户端与NGINX Ingress协商时报错。 解决方法 2.3.3及以上版本的NGINX
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
