检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
如何正确配置集群安全组规则? Autopilot集群在创建时将会自动创建两个安全组,其中Master节点的安全组名称是:{集群名}-cce-control-{随机ID};ENI的安全组的名称是:{集群名}-cce-eni-{随机ID}。
表4 args字段数据结构说明 参数 是否必填 参数类型 描述 securityGroups 否 String 需要配置的安全组ID,最多关联5条安全组。如果没有对安全组进行规划,请和default-network中的安全组保持一致。
健康检查使用UDP协议的安全组规则说明 操作场景 Autopilot集群使用独享型ELB,当负载均衡协议为UDP时,健康检查也采用UDP协议,您需要打开ENI安全组的ICMP协议安全组规则,入方向规则放通ELB后端子网网段的源地址。
筛选结果中将会包含多个安全组,找到控制节点的安全组(以[cce集群名称]-cce-control开头),单击“配置规则”。 添加入方向的5443端口规则,单击“添加规则”。 您可以根据需求修改允许访问的源地址。例如,客户端需要访问API Server的IP为100.*.*.
网络管理 如何正确配置集群安全组规则?
状态码 状态码 描述 200 表示成功获取指定集群的证书。证书文件格式参见kubernetes v1.Config结构 错误码 请参见错误码。 父主题: 集群管理(Autopilot)
负载均衡(LoadBalancer) 创建负载均衡类型的服务 健康检查使用UDP协议的安全组规则说明 父主题: 服务(Service)
安全组 2/集群 每个集群会自动创建2个安全组,分别用于集群控制面和ENI的网络访问控制。 一个Region下每个账号可创建的安全组限制为100个。 安全组规则 7/集群 每个集群会自动创建7个的安全组规则,用于放通指定端口,以保证集群中的正常网络通信。
云产品配额限制 一个区域下每个账号可创建的配额限制如下: 配额限制大类 配额限制项 配额 云容器引擎 集群总数 50 虚拟私有云 虚拟私有云的数量 5 子网的数量 100 安全组数量 100 安全组规则数量 5000 一个路由表里拥有的路由数量 100 一个虚拟私有云拥有路由数量
支持命名空间/工作负载绑定子网及安全组。 支持自定义磁盘空间。 增强集群运维监控能力。 持续优化Pod启动时间。 优化autopilot大规模集群性能。 修复部分安全问题。 v1.28.5-r0 v1.28.3 支持创建工作负载时配置APM探针。
VPC网络模式:不支持 Pod可直接关联安全组,基于安全组的隔离策略,支持集群内外部统一的安全隔离。
容器网络 使用容器网络配置为命名空间/工作负载绑定子网及安全组 父主题: 网络
安全组配额不足。 请提交工单增加安全组配额。 400 CCE.01400012 Insufficient EIP quota. EIP配额不足。 请提交工单增加EIP配额。 400 CCE.01400013 Insufficient volume quota. 磁盘配额不足。
ssl_verify_hostname 0 不根据主机名验证SSL证书。 max_background 100 可配置后台最大等待请求数。并行文件系统自动使用。 umask 0 配置文件权限的掩码。
企业项目是一种云资源管理方式,企业项目管理服务提供统一的云资源按项目管理,以及项目内的资源管理、成员管理。 可用区:可以选择在多个可用区创建负载均衡实例,提高服务的可用性。如果业务需要考虑容灾能力,建议选择多个可用区。 前端子网:用于分配ELB实例对外服务的IP地址。
customSan 否 Array of strings 集群的API Server服务端证书中的自定义SAN(Subject Alternative Name)字段,遵从SSL标准X509定义的格式规范。Autopilot集群暂不支持。 不允许出现同名重复。
基于以上需求,Kubernetes引入了资源对象Ingress,Ingress为Service提供了可直接被集群外部访问的虚拟主机、负载均衡、SSL代理、HTTP路由等应用层转发功能。
约束限制 绑定EIP的Pod,如果要被公网成功访问,需要添加放通相应请求流量的安全组规则。 单个Pod只能绑定单个EIP。 创建Pod时,可指定相关的annotation配置EIP的属性,创建完成后,更新EIP相关的annotation均无效。
CloudShell中kubectl证书有效期为1天,从云容器引擎重新跳转可以重置有效期。 集群必须安装CoreDNS才能使用CloudShell。 CloudShell暂不支持委托账号和子项目。
customSan Array of strings 集群的API Server服务端证书中的自定义SAN(Subject Alternative Name)字段,遵从SSL标准X509定义的格式规范。Autopilot集群暂不支持。 不允许出现同名重复。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
