检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
置。 域名:可选填。实际访问的域名地址,该域名需用户购买并备案,并确保所填域名能解析到所选负载均衡实例的服务地址。一旦配置了域名规则,则必须使用域名访问。 路由匹配规则:当前仅支持前缀路由匹配。 前缀路由匹配:例如映射URL为/healthz,只要符合此前缀的URL均可访问。例如
公网访问 概述 公网访问是指使用外部网络访问负载,您可以给负载绑定共享型ELB实例(ELB必须与负载在同一个VPC内),通过ELB实例访问负载,当前外部访问支持四层和七层负载公网访问。 四层公网访问支持TCP和UDP两种协议,设置完成后可以通过“elb公网ip:elb端口”访问负载。
网络访问概述 负载访问可以分为如下几种场景: 内网访问:访问内网资源。 使用“Service”方式访问:该方式适合CCI中同一个命名空间中的负载相互访问。 使用ELB(私网)访问:该方式适合云服务内部资源(云容器实例以外的资源,如ECS等)且与负载在同一个VPC内互相访问,另外在
务,故只能从外部访问容器。购买NAT网关后,才可以从容器内部访问外部网络。 为了确保良好的网络安全环境,华为云对25端口对外发送做了限制。 解决方法: 方法一:使用NAT网关服务,该服务能够为VPC内的容器实例提供网络地址转换(Network Address Translatio
的SNAT功能,即使VPC内的容器实例不配置弹性公网IP也可以直接访问Internet,提供超大并发数的连接服务,适用于请求量大、连接数多的服务。 图1 SNAT 您可以通过如下步骤实现容器实例访问Internet。 “购买”弹性公网IP。 登录管理控制台。 在管理控制台左上角单击图标,选择区域和项目。
负载网络访问 网络访问概述 内网访问 公网访问 从容器访问公网
网络访问场景 在前面两节中介绍了如何通过Service和Ingress访问Pod,本节总结一下云容器实例中Pod的访问场景,如图1所示,访问负载可以分为如下几种场景,每种场景下可以使用Service和Ingress来解决访问问题。 同一个命名空间中的负载相互访问:只需创建Serv
转发到的Service端口 Ingress中还可以设置外部域名,这样您就可以通过域名来访问到ELB,进而访问到后端服务。 域名访问依赖于域名解析,需要您将域名解析指向ELB实例的IP地址,例如您可以使用云解析服务 DNS来实现域名解析。 spec: rules: - host:
如何从公网访问容器? 负载支持绑定ELB。用户可以给负载绑定ELB实例,通过ELB的地址从外部访问容器负载。具体操作请参见公网访问。 如果您使用kubectl,您也可以参见Service和Ingress,创建Service和Ingress对象,绑定ELB。 父主题: 网络管理类
什么是服务? 服务定义了实例及访问实例的途径,如单个稳定的IP地址和相应的DNS名称。 为了解决组件间的通信问题,CCI使用服务名称代替IP地址,从而实现组件间的相互访问。在创建工作负载时会指定服务名称。 父主题: 基本概念类
CCI如何配置DNS服务? 如果用户负载需要使用k8s内部域名解析,则需要安装coredns插件。此时pod的dnsPolicy需要设置为ClusterFirst。 在插件市场界面可以单击,将coredns插件安装在指定的namesapce下。 图1 创建插件 如果用户负载不需要k8s内部域名解析服务,
IP可以访问到Service后端的Pod。 云容器实例同时还支持创建LoadBalancer类型的Service,将增强型ELB实例与Service绑定,这样访问ELB实例的流量就会访问到Service。 ELB实例根据IP地址不同可以分为私网ELB实例和公网ELB实例,区别在于
cn-north-4>" ) // userName, domainName, password分别表示用户名、账号名及密码,需用户自行传入,因用户名、账号名及密码用于认证,存在安全风险,请用户注意使用安全; var userName, domainName, password string
nsPolicy生成的域名解析文件的nameserver字段中,并删除重复的地址。 searches:域名查询时的DNS搜索域列表,此属性是可选的。指定后,提供的搜索域列表将合并到基于dnsPolicy生成的域名解析文件的search字段中,并删除重复的域名。Kubernetes最多允许6个搜索域。
角色授权系统权限 CCI服务支持基于角色授权的授权模型。默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。 CCI部署时通过物理区域划分,为
身份认证与访问控制 CCI当前认证鉴权是在Kubernetes的角色访问控制(RBAC)与统一身份认证服务(IAM)的能力基础上,提供的基于IAM的细粒度权限控制和IAM Token认证,同时支持命名空间级别及命名空间以下资源的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。
CCI上传镜像时提示需要认证怎么办? 当前在CCI中上传镜像使用的是“SWR容器镜像服务”。 使用SWR上传镜像,您需要先获取访问权限,请参见下图。如果需了解上传镜像详细步骤,请参见客户端上传镜像。 图1 上传镜像 父主题: 镜像仓库类
在“我的镜像”选择上传的2048。 图1 容器配置 配置负载访问信息。 选择负载访问方式,有如下3种选项。 不启用:负载不提供外部访问方式,适合一些计算类场景,只需计算完存储结果即可,无需与外部通信。 内网访问:内网访问将为当前负载配置一个负载域名或内网域名/虚拟IP,使得当前负载能够为内网中其他负
容器生命周期 健康检查 远程终端 负载访问 内网访问 公网访问 从容器访问公网 运维与监控 日志管理 云审计服务支持的CCI操作列表 查看云审计日志 常见问题 了解更多常见问题、案例和解决方案 热门案例 什么是云容器实例? 云容器实例和云容器引擎有什么区别? 如何设置实例(Pod)数? CCI上传镜像时提示需要认证怎么办?
务器,格式为一个键值对,键为DNS后缀域名,值为一个或一组DNS IP地址,如"acme.local -- 1.2.3.4,6.7.8.9"。 上游域名服务器:解析除集群内服务域名及自定义域名之外的域名地址,格式为一个或一组DNS IP地址,例如"8.8.8.8","8.8.4.4"。