检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
图1 VPC网络模型节点可分配容器IP数配置 节点默认会占用掉3个容器IP地址(网络地址、网关地址、广播地址),因此节点上 可分配给容器使用的IP数量 = 您选择的容器IP数量 - 3,例如上面图中可分配给容器使用的IP数量为 128-3=125。
私网;设置pulic,负载均衡器支持ipv4私网和ipv4公网。
私网;设置pulic,负载均衡器支持ipv4私网和ipv4公网。
即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知,但是如果DNS返回了A(IPv4)和AAAA(IPv6)记录,许多HTTP库都会尝试IPv6进行连接,如果再回退到IPv4,这为攻击者提供了响应的机会。该漏洞为中危漏洞,CVSS评分为6.0。
配置建议: 默认情况下,目标容器中看到的源 IP 将不是客户端的原始源IP,要启用保留客户端IP,建议配置externalTrafficPolicy值为local。负载均衡类型的service如要选择保留客户端IP,建议选择独享型负载均衡实例。
图1 添加IPv4扩展网段 在左侧导航栏选择“虚拟私有云 > 子网”,单击“创建子网”,在“子网IPv4网段”选择新添加的IPv4扩展网段,其余参数根据规划配置,单击“确定”。即可在扩展网段下创建新的子网,供集群使用。
SOURCE_IP:源IP算法。 当该字段的取值为SOURCE_IP时,后端云服务器组绑定的后端云服务器的权重设置(weight字段)无效,且不支持开启会话保持。 会话保持类型 支持基于源IP地址的简单会话保持,即来自同一IP地址的访问请求转发到同一台后端服务器上。
当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时,您可以将客户端可直接访问的IP地址或者DNS域名通过SAN的方式签入集群服务端证书,以支持客户端开启双向认证,提高安全性。典型场景例如DNAT访问、域名访问等特殊场景。
节点不暴露到公网 如非必需,节点不建议绑定EIP,以减少攻击面。 在必须使用EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。
Headless Service和普通Service的区别 普通Service: 一个Service可能对应多个EndPoint(Pod),client访问的是Cluster IP,通过iptables或IPVS规则转到Real Server,从而达到负载均衡的效果。
Master节点子网配额检查异常处理 检查项内容 检查本次升级集群子网剩余可用IP数量是否支持滚动升级。 解决方案 该问题一般因为您选择的集群子网的IP数量不够,无法支持滚动升级; 请您迁移对应子网中的节点之后重试检查,若您无法确认迁移影响,请您提交工单联系运维人员支撑。
图2 VPC网络IP地址管理 按如上IP分配,VPC网络的集群最多能创建节点数量 = 容器网段IP数量 ÷ 节点从容器网段中分配IP网段的IP数量 比如容器网段为172.16.0.0/16,则IP数量为65536,节点分配容器网段掩码为25,也就是每个节点容器IP数量为128,则最多可创建节点数量为
工作负载的容器内的resolv.conf文件,示例如下: 其中: nameserver:DNS服务器的IP地址,此处为coredns的ClusterIP。 search:域名的搜索列表,此处为Kubernetes的常用后缀。
ip_local_port_range范围冲突,影响性能 父主题: 集群
自定义 SAN:主题备用名称(SAN)允许将多种值(包括IP地址、域名等)与证书关联,在集群访问证书中签入自定义SAN后,可以通过SAN定义的域名或IP访问集群。详情请参见通过自定义域名访问集群。
# kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE nginx-headless ClusterIP None <none>
与节点的IP相同,说明Pod直接使用了主机网络。
SNAT功能通过绑定弹性公网IP,实现私有IP向公有IP的转换,从而使VPC内的容器实例能够共享弹性公网IP访问Internet,其原理如图1所示。
潜在攻击者通过设置Service对象的spec.externalIPs字段,能够劫持集群内其他Pod或者节点访问该externalIP(如某公网知名IP)的流量,并将其转发到攻击者创建的恶意Pod中,造成中间人攻击。
允许 CCE Standard/CCE Turbo 配置建议: 此配置由集群的service-node-port-range配置项确定范围,建议配置在30000-32767之间 端口号小于20106会和CCE组件的健康检查端口冲突,引发集群不可用 端口号高于32767会和net.ipv4