检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
修改集群中节点的resolve.conf文件时,如果节点有CoreDNS实例,请及时重启节点上的CoreDNS,保持状态一致。 父主题: 客户端
找到CoreDNS插件,单击“升级”按钮。 根据页面提示填写插件安装参数,详细说明请参见CoreDNS(系统资源插件,必装)。 父主题: 客户端
不同场景下容器内获取客户端源IP 在容器化环境中,客户端与容器服务器间的通信可能涉及多种代理服务器。当外部请求经过代理服务器多层转发时,客户端源IP地址可能无法被成功传递至容器内的业务中。本文将针对CCE集群提供网络访问的不同方案,详细说明如何在容器内部有效地获取客户端源IP。 场景介绍
为负载均衡类型的Service配置获取客户端IP 使用共享型ELB创建负载均衡类型的服务时,您可以通过配置annotation配置ELB的监听器获取客户端IP的能力。 使用独享型ELB时默认开启获取客户端IP,无需配置。 配置获取客户端IP后,如果您在YAML中删除对应的annotation,ELB侧的配置将会保留。
您可以通过使用节点DNS缓存NodeLocal DNSCache降低IPVS缺陷的影响,具体操作请参见使用NodeLocal DNSCache提升DNS性能。 父主题: 客户端
DNSCache的介绍及如何在CCE集群中部署NodeLocal DNSCache的具体步骤,请参见使用NodeLocal DNSCache提升DNS性能。 父主题: 客户端
为什么更换命名空间后无法创建Ingress? 问题描述 在default命名空间下可以正常创建ingress,但在其他命名空间(如:ns)下创建时不能创建成功。 原因分析 创建弹性负载均衡ELB后,使用default命名空间创建80端口的http监听,在CCE中只允许在本命名空间下创建同
能否只配置命名空间权限,不配置集群管理权限? 命名空间权限和集群管理权限是相互独立又相互补充的两个权限体系: 命名空间权限:作用于集群内部,用于管理集群资源操作(如创建工作负载等)。 集群管理(IAM)权限:云服务层面的权限,用于管理CCE集群与周边资源(如VPC、ELB、ECS等)的操作。
在VPC网络集群中访问集群外地址时使用Pod IP作为客户端源IP 在使用VPC网络的CCE集群中,Pod与集群外部通信时,系统默认会将源Pod的IP地址转换为节点的IP地址,使Pod以节点IP的形式与外部进行通信。这一过程被称为“Pod IP伪装”,技术上也称为源网络地址转换(Source
量thinpool空间且总和达到节点thinpool空间上限时,也会影响其他容器正常运行。 另外,在容器的主目录中创删文件后,其占用的thinpool空间不会立即释放,因此即使basesize已经配置为10GB,而容器中不断创删文件时,占用的thinpool空间会不断增加一直到1
在同一个命名空间内访问指定容器的FQDN是什么? 问题背景 客户询问在创建负载时指定部署的容器名称、pod名称、namespace名称,在同一个命名空间内访问该容器的FQDN是什么? 全限定域名:FQDN,即Fully Qualified Domain Name,同时带有主机名和域名的名称。(通过符号“
但是不同命名空间下的Ingress对接同一个监听器且使用TLS密钥类型证书时,由于命名空间隔离,后创建的Ingress可能出现无法正常显示TLS密钥对应Secret的场景。 例如,两个Ingress配置如下: Ingress名称 ingress1 ingress2 命名空间 namespace1
SAN通常在TLS握手阶段被用于客户端校验服务端的合法性:服务端证书是否被客户端信任的CA所签发,且证书中的SAN是否与客户端实际访问的IP地址或DNS域名匹配。 当客户端无法直接访问集群内网私有IP地址或者公网弹性IP地址时,您可以将客户端可直接访问的IP地址或者DNS域名通
关联资源类型:自定义容器网络配置关联的资源类型,详情请参见表1。创建命名空间类型的容器网络配置请选择“命名空间”类型。 命名空间:请选择您需要关联的命名空间。不同容器网络配置之间关联的命名空间不可重复。若无命名空间可选请单击后方的“创建命名空间”进行创建。 容器子网:请选择子网。若无子网可选请单击
Ingress支持设置以下超时时间: 客户端连接空闲超时时间:没有收到客户端请求的情况下保持连接的最长时间。如果在这个时间内没有新的请求, 负载均衡会暂时中断当前连接,直到下一次请求时重新建立新的连接。 等待客户端请求超时时间:如果在规定的时间内客户端没有发送完请求头,或body体数据
Kubernetes社区在 kube-apiserver 中发现了一个安全问题,该问题允许聚合 API Server将客户端流量重定向到任意 URL,这可能导致客户端执行意外操作以及将客户端的 API 服务器凭据转发给第三方。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 SSRF
Standard/CCE Turbo集群 通过配额管理功能,用户可以对命名空间或相关维度下的各类负载(deployment, pod等)数量以及资源(cpu, memory)上限进行控制。启用该功能后,用户创建命名空间时将自动创建ResourceQuota对象 在高并发场景下(如批量创
PVC资源名称,指定后不允许修改 命名空间 PVC所属命名空间 参数名 取值范围 默认值 是否允许修改 作用范围 namespace 集群中存在的命名空间 无 支持初始化时配置,不支持后续修改 - 命名空间为资源的隔离维度,一旦指定后不允许修改 配置建议: 建议按照业务、部门等归属合理划分命名空间,避免将大量资源堆叠在default命名空间下
默认情况下,目标容器中看到的源 IP 将不是客户端的原始源IP,要启用保留客户端IP,建议配置externalTrafficPolicy值为local。负载均衡类型的service如要选择保留客户端IP,建议选择独享型负载均衡实例。 共享型ELB实例不支持保留客户端源IP地址 父主题: 服务
Ingress控制器插件升级后无法使用TLS v1.0和v1.1 问题现象 NGINX Ingress控制器插件升级至2.3.3及以上版本后,如果客户端TLS版本低于v1.2,会导致客户端与NGINX Ingress协商时报错。 解决方法 2.3.3及以上版本的NGINX Ingress默认仅支持TLS v1