检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
服务转发模式 支持IPVS和iptables两种转发模式,具体请参见iptables与IPVS如何选择。 iptables:社区传统的kube-proxy模式。适用于Service数量较少或客户端会出现大量并发短链接的场景。IPv6集群不支持iptables模式。 IPVS:吞吐更高
参数 参数说明 虚拟私有云/节点子网 节点子网默认使用创建集群时的子网配置,也可以选择其他子网。 节点IP 支持指定节点IP地址。默认随机分配。 弹性公网IP 未绑定弹性公网IP的云服务器无法直接访问外网,无法直接对外进行互相通信。 默认为“暂不使用”。支持“使用已有”和“自动创建”。
PodHostIPs达到Beta 在Kubernetes1.29版本中,PodHostIPs特性达到Beta版本。该特性在Pod和downward API的Status中增加hostIPs字段,用于将节点IP地址暴露给工作负载。该字段是hostIP的双栈协议版本,第一个IP始终与hostIP相同。
VPC网络 云原生2.0网络 给容器所在节点绑定公网IP 支持 支持 不支持 给Pod绑定弹性公网IP 不支持 不支持 支持 说明: 给Pod绑定弹性公网IP,可以通过为Pod配置固定弹性公网IP实现,请参见为Pod配置固定EIP。 通过NAT网关访问公网 支持 支持 支持 下面内容以CCE
PodHostIPs达到Beta 在Kubernetes1.29版本中,PodHostIPs特性达到Beta版本。该特性在Pod和downward API的Status中增加hostIPs字段,用于将节点IP地址暴露给工作负载。该字段是hostIP的双栈协议版本,第一个IP始终与hostIP相同。
产品变更公告 2024/08/29 8 NGINX Ingress控制器验证绕过漏洞公告(CVE-2024-7646) 漏洞公告 2024/08/26 9 Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110) 漏洞公告 2024/07/31 10
在30000-32767之间 端口号小于20106会和CCE组件的健康检查端口冲突,引发集群不可用 端口号高于32767会和net.ipv4.ip_local_port_range范围冲突,影响性能 业务端口 service服务暴露的端口 参数名 取值范围 默认值 是否允许修改 作用范围
externalIPs字段,能够劫持集群内其他Pod或者节点访问该externalIP(如某公网知名IP)的流量,并将其转发到攻击者创建的恶意Pod中,造成中间人攻击。同理,攻击者通过修改Service对象的status.loadBalancer.ingress.ip也能达到此目的。
容器网络模型对比 容器网络为集群内Pod分配IP地址并提供网络服务,CCE支持如下几种网络模型,您可在创建集群时进行选择。 云原生网络2.0 VPC网络 容器隧道网络 网络模型对比 表1主要介绍CCE所支持的网络模型,您可根据实际业务需求进行选择。 集群创建成功后,网络模型不可更改,请谨慎选择。
-2024-47176、CVE-2024-47177) NGINX Ingress控制器验证绕过漏洞公告(CVE-2024-7646) Docker Engine授权插件AuthZ权限绕过漏洞公告(CVE-2024-41110) Linux内核权限提升漏洞公告(CVE-2024-1086)
普通事件上报:开启后,会将普通事件上报至AOM,系统默认配置了部分需要上报的普通事件。如果您需要自定义上报的事件,可以单击“配置白名单”,将需要上报添加至白名单进行管理,其中“事件名称”可通过CCE事件列表查询。 父主题: 配置中心
选择正确子网即可。 对于问题二,您需要添加被访问服务子网与容器网段的路由。 白名单 如果被访问服务设置白名单,白名单未添加节点网段或容器网段。 对于此类问题,您需要添加容器和节点网段到白名单。具体白名单的设置步骤,请在对应服务的帮助文档中查找。 域名解析 当访问外部域名时,Pod
需要执行一个预热程序之类),这时把请求转给Pod的话,Pod也无法处理,造成请求失败。 Kubernetes解决这个问题的方法就是给Pod加一个业务就绪探针Readiness Probe,当检测到Pod就绪后才允许Service将请求转给Pod。 Readiness Probe同
排查项一:容器+容器端口 排查项二:节点IP+节点端口 排查项三:负载均衡IP+端口 排查项四:NAT网关+端口 排查项五:检查容器所在节点安全组是否放通 排查项一:容器+容器端口 在CCE控制台界面或者使用kubectl命令查找pod的IP,然后登录到集群内的节点或容器中,使用c
ulSet)或创建守护进程集(DaemonSet)部署工作负载。 为上述工作负载配置ClusterIP类型或NodePort类型的Service,可参考集群内访问(ClusterIP)或节点访问(NodePort)配置示例Service。 添加Nginx Ingress时,需在集群中提前安装NGINX
21及以上版本的集群支持指定该字段。 vip_address 否 String 负载均衡器的内网IP。仅支持指定IPv4地址,不支持指定IPv6地址。 该IP必须为ELB所在子网网段中的IP。若不指定,自动从ELB所在子网网段中生成一个IP地址。 仅v1.23.11-r0、v1.25
-1”表示无限制。 创建完成后,选中后单击“复制”即可完成同步。 专线打通场景 配置VPC终端节点。 获取VPC内网访问IP及域名(华为云VPC内默认会自动加域名解析规则,不需要配置hosts;非华为云节点需要配置hosts),可以在终端节点详情页的“内网域名”中查询。 Harbor上配置镜像仓库。
普通事件上报:开启后,会将普通事件上报至AOM,系统默认配置了部分需要上报的普通事件。如果您需要自定义上报的事件,可以单击“配置白名单”,将需要上报添加至白名单进行管理,其中“事件名称”可通过CCE事件列表查询。 配置修改完成后,单击“确认配置”。 在集群上执行以下命令,编辑当前的事件采集配置。
您可按需选择每一个系统预置采集任务的指标采集行为进行管理: 若您选择采集全量指标,则会采集该采集任务的所有指标。 若您选择指标采集白名单,则可以按需编辑白名单(基础免费指标无需添加),更加精确的控制自定义采集内容,降低您集群的资源消耗及指标上报成本。 采集任务周期管理 您可以按需对特
5 Service和Ingress支持关联G-EIP的独享型ELB。 CCE Turbo容器网卡支持固定IP。详情请参见为Pod配置固定IP。 CCE Turbo容器网卡支持自动创建和自动绑定EIP。详情请参见为Pod配置固定EIP。 CCE Turbo集群在离线混部增强:支持P
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
