检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
根据不同的网络设置,容器内获取客户端源IP的方法可能会有所不同。以下是几种常见的网络访问配置及其对应的解决方案: Ingress七层转发:应用在七层访问时,客户端源IP默认保存在HTTP头部的“X-Forwarded-For”字段,无需进行其他配置即可获取客户端源IP。 Service四层转发:不同类型的Service获取源IP的方式及原理不同。
reload } 如上所示,CoreDNS的所有配置都在Corefile这个配置项下。默认情况下任何不属于Kubernetes集群内部的域名,其DNS请求都将指向forward指定的 DNS 服务器地址,这里“forward . /etc/resolv.conf”里面第一个“
s不支持 配置建议: 特殊场景诉求配置,通常默认值即可 容器core文件的大小限制 容器core文件的大小限制 参数名 取值范围 默认值 是否允许修改 作用范围 limitcore 大于0 5368709120 允许 CCE Standard/CCE Turbo 配置建议: 特殊场景诉求配置,通常默认值即可
为负载均衡类型的Service配置TLS TLS协议适用于需要超高性能和大规模TLS卸载的场景。您可以为Service配置TLS协议,转发来自客户端加密的TCP协议请求。 Service配置TLS协议依赖ELB能力,使用该功能前请确认当前区域是否支持使用TLS协议,详情请参见添加TLS监听器(独享型)。
该设置的目的为防止节点因管理过多实例而负载过重,请根据您的业务需要进行设置。 节点最多能创建多少个Pod还受其他因素影响,具体请参见节点可创建的最大Pod数量说明。 云服务器组 云服务器组是对云服务器的一种逻辑划分,同一云服务器组中的云服务器遵从同一策略。 反亲和性策略:同一云服务器组中的云服务器分散地创建在不同主机上,提高业务的可靠性。
CCE提供以下建议的加固方法: 通过“创建节点”的“安装后执行脚本”功能,在节点创建完成后,执行命令加固节点。具体操作步骤参考创建节点的“云服务器高级设置”的“安装后执行脚本”。“安装后执行脚本”的内容需由用户提供。 通过CCE提供的“私有镜像制作”功能,制作私有镜像作为集群的工作节点镜
监控CoreDNS运行状态 CoreDNS通过标准的Promethues接口暴露出解析结果等健康指标,发现CoreDNS服务端甚至上游DNS服务器的异常。 CoreDNS自身metrics数据接口,默认zone侦听{$POD_IP}:9153,请保持此默认值,否则普罗无法采集coredns metrics数据。
域名解析插件,单击“安装”。 在安装插件页面,根据需求选择“规格配置”。 选择“系统预置规格”时,您可根据并发域名解析能力选择“小规格”、“中规格”或“大规格”,系统会根据不同的预置规格配置插件的实例数及资源配额,具体配置值请以控制台显示为准。 “小规格”的外部域名解析能力为25
过域名和路径做到更细粒度的划分。 ConfigMap ConfigMap是一种用于存储应用所需配置信息的资源类型,用于保存配置数据的键值对。通过ConfigMap可以方便的做到配置解耦,使得不同环境有不同的配置。 Secret Secret是一种加密存储的资源对象,您可以将认证信
当负载均衡端口使用HTTPS协议时,支持使用HTTP/2功能。 配置HTTP/2后,如果您在CCE控制台删除开启HTTP/2的高级配置或在YAML中删除对应的annotation,ELB侧的配置将会保留。 前提条件 已创建Kubernetes集群,且集群版本满足以下要求: v1.23集群:v1.23.13-r0及以上版本
为Nginx Ingress配置HTTPS协议的后端服务 Ingress可以代理不同协议的后端服务,在默认情况下Ingress的后端代理通道是HTTP协议的,若需要建立HTTPS协议的通道,可在annotation字段中加入如下配置: nginx.ingress.kubernetes
为什么修改子网DNS配置后,无法解析租户区域名? 问题描述 用户集群子网DNS配置,增加了DNS服务器配置,如114.114.114.114,该域名无法解析租户区域名。 根因分析 CCE会将用户的子网DNS信息配置到node节点上,coredns插件中也是使用该配置信息,因此会导致用
CoreDNS是一款通过链式插件的方式给Kubernetes提供DNS解析服务的DNS服务器,为Kubernetes社区推荐的DNS服务器解决方案。 字段说明 表1 参数描述 参数 是否必选 参数类型 描述 basic 否 object 插件基础配置参数,无需用户指定。 flavor
通过配置privileged,在不需要特权的场景不建议使用特权容器。 通过配置capabilities,使用capability精确控制容器的特权访问权限。 通过配置allowPrivilegeEscalation, 在不需要容器进程提权的场景,建议关闭“允许特权逃逸”的配置。 通过配置安全计算模式sec
如果不配置集群管理权限的情况下,是否可以使用API呢? CCE提供的API可以分为云服务接口和集群接口: 云服务接口:支持操作云服务层面的基础设施(如创建节点),也可以调用集群层面的资源(如创建工作负载)。 使用云服务接口时,必须配置集群管理(IAM)权限。 集群接口:直接通过Kubernetes原生API
4-r0及以上版本的集群支持。 当发布多个HTTPS的服务,所有监听器会使用相同的证书配置。 图1 配置HTTP/HTTPS协议 单击“确定”,创建Service。 通过kubectl命令行创建 Service使用HTTP/HTTPS协议时,需要注意以下配置要求: 不同的ELB类型以及
kubernetes:k8s空间配置,需配置lvmConfig; runtime:运行时空间配置,需配置runtimeConfig; user:用户空间配置,需配置lvmConfig。 默认取值: 不涉及 size 是 String 参数解释: virtualSpace的大小,仅支持整数百分比。例如:90%。
在CCE集群中使用密钥Secret的安全配置建议 当前CCE已为secret资源配置了静态加密,用户创建的secret在CCE的集群的etcd里会被加密存储。当前secret主要有环境变量和文件挂载两种使用方式。不论使用哪种方式,CCE传递给用户的仍然是用户配置时的数据。因此建议: 用户不应在日志中对相关敏感信息进行记录;
监听器配置: 高级配置:选择合适的头字段进行设置。 配置 说明 使用限制 获取监听器端口号 开启后可以将ELB实例的监听端口从报文的HTTP头中带到后端云服务器。 独享型ELB实例的端口启用HTTP/HTTPS时支持配置。 获取客户端请求端口号 开启后可以将客户端的源端口从报文的HTTP头中带到后端云服务器。
在CCE集群中使用镜像服务的安全配置建议 容器镜像是防御外部攻击的第一道防线,对保障应用程序、系统乃至整个供应链的安全至关重要。不安全的镜像容易成为攻击者的突破口,导致容器逃逸到宿主机。一旦容器逃逸发生,攻击者便能访问宿主机的敏感数据,甚至利用宿主机作为跳板,进一步控制整个集群或
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
