检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
DNAT网关(DNAT) 操作场景 “DNAT网关”可以为集群节点提供网络地址转换服务,使多个节点可以共享使用弹性IP。 NAT网关与弹性IP方式相比增强了可靠性,弹性IP无需与单个节点绑定,任何节点状态的异常不影响其访问。访问方式由公网弹性IP地址以及设置的访问端口组成,例如“10
网。 图4 购买公网NAT网关 配置SNAT规则,为子网绑定弹性公网IP,具体请参见添加SNAT规则。 在NAT网关页面,单击需要添加SNAT规则的NAT网关名称。 在SNAT规则页签中,单击“添加SNAT规则”。 根据界面提示配置参数,请参见图5。 SNAT规则是按网段生效,因
在Kubernetes集群中,当一个节点需要访问位于其他节点上的Pod时,通常情况下,Pod的响应数据包会被自动执行SNAT,此时源地址会从Pod的IP地址变更为节点的IP地址。这种自动的IP地址转换可能会导致通信异常,从而使得跨节点的访问变得不可行。 为了确保节点能够正常访问位于其他节点上的Po
如何删除Terminating状态的命名空间? Kubernetes中namespace有两种常见的状态,即Active和Terminating状态。当对应的命名空间下还存在运行的资源,但该命名空间被删除时才会出现Terminating状态,这种情况下只要等待Kubernetes
在集群网络构成中介绍集群中网络地址可分为集群网络、容器网络、服务网络三块,在规划网络地址时需要从如下方面考虑: 三个网段不能重叠,否则会导致冲突。且集群所在VPC下所有子网(包括扩展网段子网)不能和容器网段、服务网段冲突。 保证每个网段有足够的IP地址可用。 集群网段的IP地址要与集群规模相匹
问题根因 Pod出现Terminating 状态的原因可能有多种,以下是一些常见的情况: 节点异常:在节点处于“不可用”状态时,CCE会迁移节点上的容器实例,并将节点上运行的Pod置为Terminating状态。 待节点恢复后,处于Terminating状态的Pod会自动删除。
获取集群访问的地址 功能介绍 该API用于通过集群ID获取集群访问的地址,包括PrivateIP(HA集群返回VIP)与PublicIP 集群管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径。 调用方法 请参见如何调用API。
的Pod无法访问公网)。 通过NAT网关配置SNAT规则,通过NAT网关访问公网。 下面将详细讲解通过NAT网关访问公网的方法,NAT网关能够为VPC内的容器实例提供网络地址转换(Network Address Translation)服务,SNAT功能通过绑定弹性公网IP,实现
etwork的容器网络模型,即每个Pod在每个网络平面下都拥有一个独立的IP地址,Pod内所有容器共享同一个网络命名空间,集群内所有Pod都在一个直接连通的扁平网络中,无需NAT可直接通过Pod的IP地址访问。Kubernetes只提供了如何为Pod提供网络的机制,并不直接负责配
当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时,您可以将客户端可直接访问的IP地址或者DNS域名通过SAN的方式签入集群服务端证书,以支持客户端开启双向认证,提高安全性。典型场景例如DNAT访问、域名访问等特殊场景。 如果您有特殊的代理访问或跨域访问需求,可以通过自定义
VPC网络模式的集群采用了linux开源社区的ipvlan模块实现容器网络通信,这一日志打印与ipvlan的设计实现有关,ipvlan L2E模式它优先进行二层转发,再进行三层转发。 场景还原: 假定有业务Pod A,它持续对外提供服务,不断被同节点访问收发报文,通过本机k8s service经过容器gw接口进行
添加容器网段的地址。添加容器网段路由后,Pod可以通过容器IP直接访问另外一个集群的Pod。 VPC网络到IDC的场景 和VPC互联场景类似,同样存在VPC里部分地址段路由到IDC,CCE集群的Pod地址就不能和这部分地址重叠。IDC里如果需要访问集群里的Pod地址,同样需要在IDC端配置到专线VBR的路由表。
在集群中访问ELB地址时出现无法访问的场景较为常见,这是由于Kubernetes在创建Service时,kube-proxy会把ELB的访问地址作为外部IP(即External-IP,如下方回显所示)添加到iptables或IPVS中。如果客户端从集群内部发起访问ELB地址的请求,该地
若用户通过前端console操作,在获取实例、更新实例等操作中CCE会自动尝试转换v2模板实例到v3模板实例。若用户仅在后台操作实例,需通过该指南进行转换操作。 转换流程(不使用Helm v3客户端) 在CCE节点上下载helm 2to3 转换插件。 wget https://github.com/helm
绑定、解绑集群公网apiserver地址 功能介绍 该API用于通过集群ID绑定、解绑集群公网apiserver地址 集群管理的URL格式为:https://Endpoint/uri。其中uri为资源路径,也即API访问的路径。 调用方法 请参见如何调用API。 URI PUT
创建有状态负载(StatefulSet) 负载均衡(LoadBalancer) NAT网关 NAT网关能够为VPC内的容器实例提供网络地址转换(Network Address Translation)服务,SNAT功能通过绑定弹性公网IP,实现私有IP向公有IP的转换,可实现VPC内的容器实例共享弹性公网IP访问Internet。
容器所访问。如果端口1234上的服务不需要额外的认证(因为假设只有其他localhost进程可以),那么很容易受到利用此bug进行攻击。 华为云提醒使用kube-proxy的用户及时安排自检并做好安全加固。 详情请参考链接:https://github.com/kubernete
Kubernetes虽然不负责搭建网络模型,但要求集群网络满足以下要求: Pod能够互相通信,且Pod必须通过非NAT网络连接,即收到的数据包的源IP就是发送数据包Pod的IP。 节点之间可以在非NAT网络地址转换的情况下通信。 Pod通信 同一个节点中的Pod通信 Pod通过虚拟Ethernet接口对(Veth
使用共享型ELB对接Pod需要通过节点NodePort转发 容器IP地址管理 需设置单独的容器网段 按节点划分容器地址段,动态分配(地址段分配后可动态增加) 需设置单独的容器网段 按节点划分容器地址段,静态分配(节点创建完成后,地址段分配即固定,不可更改) 容器网段从VPC子网划分,无需设置单独的容器网段
ELB IPv4私网地址检查异常处理 检查项内容 检查集群内负载均衡类型的Service所关联的ELB实例是否包含IPv4私网IP。 解决方案 解决方案一:删除关联无IPv4私网地址ELB的负载均衡型Service。 解决方案二:为无IPv4私网IP地址的ELB绑定一个私网IP。步骤如下:
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
