检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
连接集群 通过kubectl连接集群 通过CloudShell连接集群 通过X509证书连接集群 通过自定义域名访问集群 配置集群API Server公网访问 吊销集群访问凭证 父主题: 集群
容器端口:工作负载程序实际监听的端口,需用户确定。例如nginx默认使用80端口。 访问控制: 继承ELB已有配置:CCE不对ELB侧已有的访问控制进行修改。 允许所有IP访问:不设置访问控制。 白名单:仅所选IP地址组可以访问ELB地址。 黑名单:所选IP地址组无法访问ELB地址。 v1.25
0.0.0.0/16。 路由信息设置完成后,单击“确定”。 返回路由列表,可以看到刚添加的路由。 后续操作 如果涉及集群跨VPC访问其他服务的场景,您还需要关注所访问的云服务是否允许VPC外部访问,如部分服务可能需要添加白名单或放通安全组才允许访问。对于VPC网络模型的集群,您还需要额外放通容器网段。
Headless Service Service解决了Pod的内外部访问问题,但还有下面这些问题没解决。 同时访问所有Pod 一个Service内部的Pod互相访问 Headless Service正是解决这个问题的,Headless Service不会创建ClusterIP,并
配置集群API Server公网访问 您可以为Kubernetes集群的API Server绑定弹性公网IP(EIP),使集群API Server具备公网访问能力。 为API Server绑定EIP 登录CCE控制台,单击集群名称进入集群。 查看集群“概览”页,在右边“连接信息”下公网地址一栏,单击“绑定”。
需要手动吊销集群访问凭证,以确保集群安全。 吊销集群访问凭证的存在两类场景: 子用户(非管理员):支持吊销自身的集群访问凭证。 主账号或管理员用户(admin用户组用户):支持吊销其他用户或委托账号的集群访问凭证。 吊销集群访问凭证后,该凭证的持有人将无法访问集群,且无法恢复已吊销的凭证,请谨慎操作。
数据分布:访问量PV分布(中国)、访问量PV分布(世界)、访问量UV分布(中国)、访问量UV分布(世界)、平均时延分布(中国)、平均时延分布(世界)、设备占比(终端)、设备占比(系统)。 TOP统计:区域访问TOP10(省份)、区域访问TOP10(城市)、Host访问TOP10、
在集群内部WordPress访问MySQL,Kubernetes提供一种叫服务(Service)的资源来解决负载的访问问题,本例中会为MySQL和WordPress分别创建一个Service,在后面的章节中您可以看到如何创建和配置。 视频参考 您还可以通过这个视频教程了解如何部署WordPr
见的解决方案有IP VLAN等。 图2 不同节点上的Pod通信 以上就是容器网络底层视图,后面将进一步介绍Kubernetes如何在此基础上向用户提供访问方案,具体请参见Service和Ingress。 父主题: Kubernetes网络
如果集群开启了匿名用户访问的权限,则匿名用户也利用这个漏洞。不幸的是Kubernetes默认允许匿名访问,即kube-apiserver的启动参数”-- anonymous-auth=true”;给予用户Pod的exec/attach/portforward的权限,用户也可以利用这个
单击“确定”。 获取访问密钥 登录控制台。 鼠标指向界面右上角的登录用户名,在下拉列表中单击“我的凭证”。 在左侧导航栏单击“访问密钥”。 单击“新增访问密钥”,进入“新增访问密钥”页面。 单击“确定”,下载访问密钥。 使用访问密钥创建Secret 获取访问密钥。 对访问密钥进行bas
方式访问集群。 内网访问:访问集群的客户端机器需要位于集群所在的同一VPC内。 公网访问:访问集群的客户端机器需要具备访问公网的能力,并为集群绑定公网地址。 通过“公网访问”方式访问集群,您需要在概览页中的“连接信息”版块为集群绑定公网地址,如图1所示。绑定公网集群的kube-a
通过特权容器功能优化内核参数 前提条件 从客户端机器访问Kubernetes集群,需要使用Kubernetes命令行工具kubectl,请先连接kubectl。详情请参见通过kubectl连接集群。 操作步骤 通过后台创建daemonSet,选择nginx镜像、开启特权容器、配置生命周期、添加hostNetwork:
在同一个命名空间内访问指定容器的FQDN是什么? 问题背景 客户询问在创建负载时指定部署的容器名称、pod名称、namespace名称,在同一个命名空间内访问该容器的FQDN是什么? 全限定域名:FQDN,即Fully Qualified Domain Name,同时带有主机名和域名的名称。(通过符号“
置可能引起的潜在风险。错误的配置可能会导致集群内部访问受阻。如果您对是否需要配置该参数感到不确定,建议暂时保留默认设置,待需求明确后再作调整。 配置非伪装网段的方法 为了让Pod访问目标网段时保留Pod的源IP地址,您可以通过设置nonMasqueradeCIDRs参数来指定无需伪装的网段。
容器设置 在什么场景下设置工作负载生命周期中的“停止前处理”? 在什么场景下,容器会被重建? 在同一个命名空间内访问指定容器的FQDN是什么? 健康检查探针(Liveness、Readiness)偶现检查失败? 如何设置容器umask值? CCE启动实例失败时的重试机制是怎样的?
前端协议:支持“HTTP”和“HTTPS”。 对外端口:ELB监听器的端口。 访问控制: 继承ELB已有配置:CCE不对ELB侧已有的访问控制进行修改。 允许所有IP访问:不设置访问控制。 白名单:仅所选IP地址组可以访问ELB地址。 黑名单:所选IP地址组无法访问ELB地址。 说明: v1.25.16-r10、v1
CCE部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择“区域级项目”,然后在指定区域对应的项目中设置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权限在所有区域项目中都生效。访问CCE时,需要先切换至授权区域。 权限根据授权精细程度分为角色和策略。 角色:IAM最初
hell登录容器。 登录CCE控制台,单击集群名称进入集群。 在左侧选择“工作负载”,单击目标工作负载名称,查看工作负载的实例列表。 单击目标实例操作列中的“更多 > 远程登录”。 图1 登录容器 在弹出窗口中选择要登录的容器以及命令,然后单击“确定”。 图2 选择登录的容器与命令
的异常不影响其访问。访问方式由公网弹性IP地址以及设置的访问端口组成,例如“10.117.117.117:80”。 图1 DNAT网关 ( DNAT ) 约束与限制 关于NAT网关的使用,您需要注意以下几点: DNAT规则不支持企业项目授权。 集群内容器不支持访问external
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
