检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
ingress: - ip: *.*.*.* - ip: 192.168.0.15 表1 关键参数说明 参数 参数类型 描述 kubernetes.io/elb.custom-eip-id String 自定义EIP的ID,您可以前往EIP控制台查看。该EIP必须是处于可绑定状态。
当节点无法连接互联网时,请参照如下方法排查。 排查项一:节点是否绑定弹性IP 登录ECS控制台,查看节点对应的弹性云服务器是否已绑定弹性IP。 若弹性IP一栏有IP地址,表示已绑定弹性IP。若没有,请为弹性云服务器绑定弹性IP。 图1 节点是否已绑定弹性IP 排查项二:节点是否配置网络ACL 登录VPC控制台,单击左侧导航栏的“访问控制
loadBalancerIP: **.**.**.** # ELB的IP 表1 关键参数说明 参数 参数类型 描述 kubernetes.io/elb.gzip-enabled String true:开启,将对特定文件类型进行压缩。 false:关闭,不会对任何文件类型进行压缩。在默认情况下数据压缩为关闭。
带宽当前剩余可加入的IPv6网卡数。 配置了共享带宽的IPv6双栈Pod:Pod创建时,CNI会等待IPv6双栈网卡插入共享带宽完成后才会返回成功;Pod删除时,会等待Pod完全删除或最长30秒删除状态后进行IPv6双栈网卡移出共享带宽。 如果Pod对应的IPv6双栈网卡加入共享
在“高级配置”中,填写安装前/后执行脚本。 例如,您可以通过安装后执行脚本创建iptables规则,限制每分钟最多只能有25个TCP协议的数据包通过端口80进入,并且在超过这个限制时,允许最多100个数据包通过,以防止DDoS攻击。 iptables -A INPUT -p tcp --dport
在“高级配置”中,填写安装前/后执行脚本。 例如,您可以通过安装后执行脚本创建iptables规则,限制每分钟最多只能有25个TCP协议的数据包通过端口80进入,并且在超过这个限制时,允许最多100个数据包通过,以防止DDoS攻击。 iptables -A INPUT -p tcp --dport
权轮询、IP hash等。Nginx Ingress在原生的Nginx能力基础上,支持使用一致性哈希方法进行负载均衡。 Nginx默认支持的IP hash方法使用的是线性的hash空间,根据IP的hash运算值来选取后端的目标服务器。但是这种方法在添加删除节点时,所有IP值都需要
您可以使用KMS自动轮转密钥功能进行Secret的落盘加密。当密钥发生自动轮转时,存量的Secret仍旧使用轮转前的密钥版本进行加密,新增的Secret将使用轮转后的新密钥版本进行加密。关于自动轮转密钥具体操作,请参见密钥轮换概述。 如需确保存量的Secret也使用新的密钥版本进行加密,请在密钥发
为负载均衡类型的Service配置获取客户端IP 使用共享型ELB创建负载均衡类型的服务时,您可以通过配置annotation配置ELB的监听器获取客户端IP的能力。 使用独享型ELB时默认开启获取客户端IP,无需配置。 配置获取客户端IP后,如果您在YAML中删除对应的annotation,ELB侧的配置将会保留。
容器访问公网有如下方法可以实现。 给容器所在节点绑定弹性公网IP(容器网络模型为VPC网络或容器隧道网络)。 给Pod IP绑定弹性公网IP(仅支持云原生2.0网络模型集群,在VPC控制台中手动为Pod的弹性网卡或辅助弹性网卡绑定弹性公网IP。不推荐使用,因为Pod被重调度后IP会变化导致新的Pod无法访问公网)。
避免IPVS缺陷导致的DNS概率性解析超时 问题描述 当集群使用IPVS作为kube-proxy负载均衡模式时,您可能会在CoreDNS缩容或重启时遇到DNS概率性解析超时的问题。 该问题由社区Linux内核缺陷导致,具体信息请参见https://github.com/torva
bernetes集群。详情请参见通过kubectl连接集群。 公网地址:为Kubernetes集群的API Server绑定弹性公网IP。配置完成后,集群API Server将具有公网访问能力。 绑定弹性公网IP后,集群存在公网访问风险,建议为控制节点安全组加固5443端口的入方
试在往容器A的IP发送报文。内核中的ipvlan模块首先尝试根据目的IP来二层转发这些报文,但是由于Pod A已无法找到该IP所属的网卡,ipvlan模块判断它有可能是个外部报文,因此尝试进行三层转发,根据路由规则匹配上了gw口,因此gw口又收到此报文,再经由ipvlan模块转发
Headless Service正是解决这个问题的,Headless Service不会创建ClusterIP,并且查询会返回所有Pod的DNS记录,这样就可查询到所有Pod的IP地址。有状态负载StatefulSet正是使用Headless Service解决Pod间互相访问的问题。
externalIPs字段,能够劫持集群内其他Pod或者节点访问该externalIP(如某公网知名IP)的流量,并将其转发到攻击者创建的恶意Pod中,造成中间人攻击。同理,攻击者通过修改Service对象的status.loadBalancer.ingress.ip也能达到此目的。
对操作系统中启用了IPv6并且容器网络的CNI Plugins小于V0.8.6版本的节点有影响。 恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录,实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知,但是如果DNS返回了A(IPv4)和AAAA
在集群中访问ELB地址时出现无法访问的场景较为常见,这是由于Kubernetes在创建Service时,kube-proxy会把ELB的访问地址作为外部IP(即External-IP,如下方回显所示)添加到iptables或IPVS中。如果客户端从集群内部发起访问ELB地址的请求,该地
对于负载均衡类型的Service,负责集群内部流量转发的kube-proxy组件默认会将Service绑定的ELB IP地址配置到节点本地的转发规则中,从集群内部访问ELB的地址时,流量就会直接在集群内部转发,而不会经过ELB转发。 如果Service设置了服务亲和为节点级别,即exte
端口。 访问控制: 继承ELB已有配置:CCE不对ELB侧已有的访问控制进行修改。 允许所有IP访问:不设置访问控制。 白名单:仅所选IP地址组可以访问ELB地址。 黑名单:所选IP地址组无法访问ELB地址。 配置完成后,单击“确定”。 通过kubectl命令行设置 以使用已有E
问控制进行修改。 允许所有IP访问:不设置访问控制。 白名单:仅所选IP地址组可以访问ELB地址。 黑名单:所选IP地址组无法访问ELB地址。 前端协议:“HTTP” 对外端口:80 高级配置: 访问控制:黑名单 转发策略配置 域名:实际访问的域名地址,不配置时可通过IP地址访问
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
