检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
证书来源:ELB服务器证书 服务器证书:cert-test 转发策略配置 域名:实际访问的域名地址,不配置时可通过IP地址访问Ingress。请确保所填写的域名已注册并备案,一旦配置了域名规则后,必须使用域名访问。 路径匹配规则:支持前缀匹配、精确匹配、正则匹配,请按需选择。 路径
前端协议:“HTTP” 对外端口:80 高级配置: 访问控制:黑名单 转发策略配置 域名:实际访问的域名地址,不配置时可通过IP地址访问Ingress。请确保所填写的域名已注册并备案,一旦配置了域名规则后,必须使用域名访问。 路径匹配规则:支持前缀匹配、精确匹配、正则匹配,请按需选择。 路径
对外端口:ELB监听器的端口。 前端协议:“HTTP” 对外端口:80 转发策略配置 域名:实际访问的域名地址,不配置时可通过IP地址访问Ingress。请确保所填写的域名已注册并备案,一旦配置了域名规则后,必须使用域名访问。 路径匹配规则:使用重写URL需要选择“正则匹配”。 路径:后端应用
获取客户端请求端口号:开启 重写X-Forwarded-Host:开启 转发策略配置 域名:实际访问的域名地址,不配置时可通过IP地址访问Ingress。请确保所填写的域名已注册并备案,一旦配置了域名规则后,必须使用域名访问。 路径匹配规则:支持前缀匹配、精确匹配、正则匹配,请按需选择。 路径
通过API接口创建Ingress时必须增加该参数。 host 否 String 为服务访问域名配置,默认为"",表示域名全匹配。请确保所填写的域名已注册并备案,一旦配置了域名规则后,必须使用域名访问。 path 是 String 为路由路径,用户自定义设置。所有外部访问请求需要匹配host和path。
空闲超时时间:60 请求超时时间:60 响应超时时间:60 转发策略配置 域名:实际访问的域名地址,不配置时可通过IP地址访问Ingress。请确保所填写的域名已注册并备案,一旦配置了域名规则后,必须使用域名访问。 路径匹配规则:支持前缀匹配、精确匹配、正则匹配,请按需选择。 路径
对外端口:443 证书来源:“TLS密钥” 服务器证书:test 转发策略配置 域名:实际访问的域名地址,不配置时可通过IP地址访问Ingress。请确保所填写的域名已注册并备案,一旦配置了域名规则后,必须使用域名访问。 路径匹配规则:支持前缀匹配、精确匹配、正则匹配,请按需选择。 路径
IPVS缺陷导致节点上升级CoreDNS后出现概率性解析超时 故障现象 在集群使用IPVS转发的场景下,节点上升级CoreDNS后,可能出现概率性丢包,导致域名解析失败。 问题根因 该问题由IPVS缺陷导致,社区已在IPVS v5.9-rc1版本中修复该问题,详情请参见ipvs: queue delayed
CoreDNS配置优化包含客户端优化及服务端优化。 在客户端,您可以通过优化域名解析请求来降低解析延迟,通过使用合适的容器镜像、节点DNS缓存NodeLocal DNSCache等方式来减少解析异常。 优化域名解析请求 选择合适的镜像 避免IPVS缺陷导致的DNS概率性解析超时 使用节点DNS缓存NodeLocal
是 String 插件名。 取值为: coredns:表示安装CoreDNS域名解析插件。 everest:表示安装CCE容器存储(Everest)插件。 node-local-dns:表示安装节点本地域名解析加速插件。 volcano:表示安装Volcano调度器插件。 npd:表示安装CCE节点故障检测插件。
安全容器:当前仅物理机支持,提供虚机级别的隔离 普通容器:Cgroups隔离 提供虚机级别的隔离 边缘基础设施管理 不支持 支持管理智能边缘小站 不支持 父主题: 购买集群
检查项内容 检查当前CoreDNS关键配置Corefile是否同Helm Release记录存在差异,差异的部分可能在插件升级时被覆盖,影响集群内部域名解析。 解决方案 您可在明确差异配置后,单独升级CoreDNS插件。 配置Kubectl命令,具体请参见通过kubectl连接集群。 获取当前生效的Corefile。
容器网络插件 CoreDNS域名解析 NGINX Ingress控制器 节点本地域名解析加速 父主题: 插件
节点ARP表项超过限制 问题现象 ARP缓存超限,容器网络的访问出现异常,例如coredns域名解析概率失败。 问题根因 出现该问题的原因是节点上容器缓存的ARP表项超过限制。 问题定位 在节点操作系统内核为4.3以上时,dmsg日志中会有显性的打印neighbor table
ingressClassName: cce Ingress中还可以设置外部域名,这样您就可以通过域名来访问到ELB,进而访问到后端服务。 域名访问依赖于域名解析,需要您将域名解析指向ELB实例的IP地址,例如您可以使用云解析服务 DNS来实现域名解析。 ... spec: rules: -
Ingress中配置的证书配套。 创建证书时,未指定域名 通过curl命令测试时报错信息如下: SSL: unable to obtain common name from peer certificate 请在创建证书时指定域名。 访问的域名和HTTPS证书的域名不一致 通过curl命令测试时报错信息如下:
Service的IP地址,然后再访问nginx Service的IP地址,从而访问到nginx Pod。 图1 集群内域名解析示例图 Kubernetes中的域名解析逻辑 DNS策略可以在每个pod基础上进行设置,目前,Kubernetes支持Default、ClusterFir
插件实例字段说明 CoreDNS域名解析 CCE容器存储插件(Everest) CCE节点故障检测 Kubernetes Dashboard CCE集群弹性引擎 NGINX Ingress控制器 Kubernetes Metrics Server CCE容器弹性引擎 CCE突发弹性引擎(对接CCI)
隔。 同时支持使用通配符,例如: “*”表示允许所有域访问。 填写一级泛域名,如“http(s)://*.example.com”表示允许该域名下的所有子域名访问。 须知: 出于安全考虑,建议指定确切的域名,防止未经授权的域访问敏感资源。 nginx.ingress.kubernetes
同一个IP地址和端口号下对外提供多个基于TLS的访问域名,且不同的域名可以使用不同的安全证书。开启SNI后,允许客户端在发起TLS握手请求时就提交请求的域名信息。负载均衡收到TLS请求后,会根据请求的域名去查找证书:若找到域名对应的证书,则返回该证书认证鉴权;否则,返回缺省证书(服务器证书)认证鉴权。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
