检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
创建节点 前提条件 已创建至少一个集群。 您需要新建一个密钥对,用于远程登录节点时的身份认证。 若使用密码登录节点,请跳过此操作。创建方法请参见创建密钥对。 约束与限制 创建节点过程中依赖OBS等周边服务,因此节点所在子网的DNS配置不可修改。 集群开启IPv4/IPv6双栈时,
(停止维护)Kubernetes 1.9及之前版本说明 云容器引擎(CCE)严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.9及之前版本所做的变更说明。 表1 v1.9及之前版本集群说明 Kubernetes版本(CCE增强版) 版本说明 v1.9.10-r2
(停止维护)Kubernetes 1.9及之前版本说明 云容器引擎(CCE)严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.9及之前版本所做的变更说明。 表1 v1.9及之前版本集群说明 Kubernetes版本(CCE增强版) 版本说明 v1.9.10-r2
当前CCE提供两种访问集群API Server的方式: 集群API方式:(推荐)集群API需要使用证书认证访问。直接连接集群API Server,适合大规模调用。 API网关方式:API网关采用token方式认证,需要使用账号信息获取token。适合小规模调用场景,大规模调用时可能会触发API网关流控。
上进行处理。 例如在大多数需要用户身份认证的在线系统中,一个用户需要与服务器实现多次交互才能完成一次会话。由于多次交互过程中存在连续性,如果不配置会话保持,负载均衡可能会将部分请求分配至另一个后端服务器,但由于其他后端服务器并未经过用户身份认证,则会出现用户登录失效等交互异常。
ectl命令呢? 使用kubectl命令无需经过IAM认证,因此理论上不配置集群管理(IAM)权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件(kubeconfig),以下场景认证文件传递过程中均存在安全泄露风险,应在实际使用中注意。 场景一
使用SWR企业版镜像仓库镜像 操作场景 CCE支持拉取SWR企业版镜像仓库的镜像来创建工作负载。 SWR企业版镜像仓库必须经过认证(账号密码)才能访问,而CCE中容器拉取镜像是使用密钥认证方式,这就要求在拉取镜像前先创建镜像仓库的密钥。 前提条件 使用SWR企业版镜像仓库镜像时,请确保工作负载运行的节点可访问对应的企业版镜像仓库实例。
使用SWR企业版镜像仓库镜像 操作场景 CCE支持拉取SWR企业版镜像仓库的镜像来创建工作负载。 SWR企业版镜像仓库必须经过认证(账号密码)才能访问,而CCE中容器拉取镜像是使用密钥认证方式,这就要求在拉取镜像前先创建镜像仓库的密钥。 前提条件 使用SWR企业版镜像仓库镜像时,请确保工作负载运行的节点可访问对应的企业版镜像仓库实例。
4-r0及以上版本的集群支持。 单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。 双向认证:双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端
使用第三方镜像 操作场景 CCE支持拉取第三方镜像仓库的镜像来创建工作负载。 通常第三方镜像仓库必须经过认证(账号密码)才能访问,而CCE中容器拉取镜像是使用密钥认证方式,这就要求在拉取镜像前先创建镜像仓库的密钥。 前提条件 使用第三方镜像时,请确保工作负载运行的节点可访问公网。
4-r0及以上版本的集群支持。 单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。 双向认证:双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端
Kubernetes 1.25版本说明 云容器引擎(CCE)严格遵循社区一致性认证。本文介绍Kubernetes 1.25版本相对于1.23版本所做的变更说明。 索引 主要特性 弃用和移除 CCE对Kubernetes 1.25版本的增强 参考链接 主要特性 Kubernetes
4-r0及以上版本的集群支持。 单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。 双向认证:双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端
Kubernetes 1.25版本说明 云容器引擎(CCE)严格遵循社区一致性认证。本文介绍Kubernetes 1.25版本相对于1.23版本所做的变更说明。 索引 主要特性 弃用和移除 CCE对Kubernetes 1.25版本的增强 参考链接 主要特性 Kubernetes
服务没有设置身份验证,则会导致该服务容易受到攻击。例如,如果集群管理员运行监听了127.0.0.1:1234的TCP服务,由于这个bug,该服务将有可能被与该节点在同一局域网中的其他主机,或与该服务运行在同一节点上的容器所访问。如果端口1234上的服务不需要额外的认证(因为假设只
access, not programmatic access." 该错误表示IAM用户没有编程访问权限。 解决方案 请联系主账号管理员,登录统一身份认证服务。 找到需要修改的IAM用户,单击用户名称。 修改“访问方式”,同时勾选“编程访问”和“管理控制台访问”。 图1 修改IAM用户访问方式
当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时,您可以将客户端可直接访问的IP地址或者DNS域名通过SAN的方式签入集群服务端证书,以支持客户端开启双向认证,提高安全性。典型场景例如DNAT访问、域名访问等特殊场景。 如果您有特殊的代理访问或跨域访问需求,可以通过自定义SAN实现。域名访问场景的典型使用方式如下:
4-r0及以上版本的集群支持。 单向认证:仅进行服务器端认证。如需认证客户端身份,请选择双向认证。 双向认证:双向认证需要负载均衡实例与访问用户互相提供身份认证,从而允许通过认证的用户访问负载均衡实例,后端服务器无需额外配置双向认证。 CA证书:SSL解析方式选择“双向认证”时需要添加CA证书,用于认证客户端
(停止维护)Kubernetes 1.13版本说明 云容器引擎(CCE)严格遵循社区一致性认证。本文介绍CCE发布Kubernetes 1.13版本所做的变更说明。 表1 v1.13版本集群说明 Kubernetes版本(CCE增强版) 版本说明 v1.13.10-r0 主要特性:
Kubernetes 1.29版本说明 云容器引擎(CCE)严格遵循社区一致性认证,现已支持创建Kubernetes 1.29集群。本文介绍Kubernetes 1.29版本的变更说明。 索引 新增特性及特性增强 API变更与弃用 CCE对Kubernetes 1.29版本的增强
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
