正在生成
详细信息:
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
namespaceSelector:根据命名空间的标签选择,具有该标签的命名空间都可以访问。 podSelector:根据Pod的标签选择,具有该标签的Pod都可以访问。 ipBlock:根据网络选择,网段内的IP地址都可以访问。(CCE当前不支持此种方式) 约束与限制 当前仅容器隧道网络模型的集
类型进行压缩。 Brotli支持压缩所有类型。 Gzip支持压缩的类型如下: text/xml text/plain text/css application/javascript application/x-javascript application/rss+xml application/atom+xml
为负载均衡类型的Service配置获取客户端IP 使用共享型ELB创建负载均衡类型的服务时,您可以通过配置annotation配置ELB的监听器获取客户端IP的能力。 使用独享型ELB时默认开启获取客户端IP,无需配置。 配置获取客户端IP后,如果您在YAML中删除对应的annotation,ELB侧的配置将会保留。
用户访问集群API Server的方式有哪些? 当前CCE提供两种访问集群API Server的方式: 集群API方式:(推荐)集群API需要使用证书认证访问。直接连接集群API Server,适合大规模调用。 API网关方式:API网关采用token方式认证,需要使用账号信息获
ELB IPv4私网地址检查异常处理 检查项内容 检查集群内负载均衡类型的Service所关联的ELB实例是否包含IPv4私网IP。 解决方案 解决方案一:删除关联无IPv4私网地址ELB的负载均衡型Service。 解决方案二:为无IPv4私网IP地址的ELB绑定一个私网IP。步骤如下:
ngress访问。 通过公网访问工作负载:需要节点或LoadBalancer绑定公网IP。 通过内网访问工作负载:通过节点或LoadBalancer的内网IP即可访问工作负载。如果跨VPC需要通过对等连接等手段打通不同VPC网络。 工作负载访问外部网络: 工作负载访问内网:负载访
前面讲的Service解决了Pod的内外部访问问题,但还有下面这些问题没解决。 同时访问所有Pod 一个Service内部的Pod互相访问 Headless Service正是解决这个问题的,Headless Service不会创建ClusterIP,并且查询会返回所有Pod的DNS记
根据需求修改允许访问的源地址。例如,客户端需要访问API Server的IP为100.*.*.*,则可添加5443端口入方向规则的源地址为100.*.*.*。 除客户端IP外,端口还需保留对VPC网段、容器网段和托管网格控制面网段放通,以保证集群内部可访问API Server。
与服务Pod同节点 无法访问 无法访问 无法访问 无法访问 与服务Pod不同节点 无法访问 无法访问 无法访问 无法访问 与服务Pod同节点的其他容器 无法访问 无法访问 无法访问 无法访问 与服务Pod不同节点的其他容器 无法访问 无法访问 无法访问 无法访问 nginx-ingr
使用IE浏览器访问nginx-ingress出现重定向308无法访问 问题现象 NGINX Ingress控制器从较老的版本升级后,使用IE浏览器无法访问已有的服务,状态码显示为308。 问题根因 NGINX Ingress控制器在升级后默认的永久重定向状态码从301变成了308
容器如何访问VPC内部网络 前面章节介绍了使用Service和Ingress访问容器,本节将介绍如何从容器访问内部网络(VPC内集群外),包括VPC内访问和跨VPC访问。 VPC内访问 根据集群容器网络模型不同,从容器访问内部网络有不同表现。 容器隧道网络 容器隧道网络在节点网络
Turbo ClusterIP:通过集群的内部 IP 暴露服务,选择该值时服务只能够在集群内部访问。 这也是你没有为服务显式指定 type 时使用的默认值。 你可以使用 Ingress 或者 Gateway API 向公众暴露服务。 NodePort:通过每个节点上的 IP 和静态端口(NodePort)暴露服务。
后,将域名与自动创建的负载均衡实例的IP(即Ingress访问地址的IP部分)绑定。一旦配置了域名规则,则必须使用域名访问。 URL匹配规则: 默认:默认为前缀匹配。 前缀匹配:例如映射URL为/healthz,只要符合此前缀的URL均可访问。例如/healthz/v1,/healthz/v2。
在CCE集群中使用工作负载Identity的安全配置建议 工作负载Identity允许集群中的工作负载模拟IAM用户来访问云服务,从而无需直接使用IAM账号的AK/SK等信息,降低安全风险。 本文档介绍如何在CCE中使用工作负载Identity。 约束与限制 支持1.19.16及以上版本集群。
Service用于解决StatefulSet内Pod互相访问的问题,Headless Service给每个Pod提供固定的访问域名。具体请参见Headless Service。 服务配置(可选) 服务(Service)可为Pod提供外部访问。每个Service有一个固定IP地址,Service将访问流量转发给Pod,
与服务Pod同节点 无法访问 无法访问 无法访问 无法访问 与服务Pod不同节点 无法访问 无法访问 无法访问 无法访问 与服务Pod同节点的其他容器 无法访问 无法访问 无法访问 无法访问 与服务Pod不同节点的其他容器 无法访问 无法访问 无法访问 无法访问 nginx-ingr
25.9-r0、v1.27.6-r0、v1.28.4-r0及以上版本的集群支持。 访问控制: 允许所有IP访问:不设置访问控制。 白名单:仅所选IP地址组可以访问ELB地址。 黑名单:所选IP地址组无法访问ELB地址。 高级配置: 配置 说明 使用限制 获取监听器端口号 开启后可以将
节点在新的镜像发布前请参考漏洞公告,完成节点漏洞修复。 节点不暴露到公网 如非必需,节点不建议绑定EIP,以减少攻击面。 在必须使用EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。 在使用cce集群过程中,由于业务场景需要,在节点上配置了kubeconfig.js
返回路由列表,可以看到刚添加的路由。 后续操作 如果涉及集群跨VPC访问其他服务的场景,您还需要关注所访问的云服务是否允许VPC外部访问,如部分服务可能需要添加白名单或放通安全组才允许访问。对于VPC网络模型的集群,您还需要额外放通容器网段。 以VPC网络模型的集群访问另一VPC下的ECS为例,您需要在ECS
集群节点如何不暴露到公网? 如果不需要访问集群节点的22端口,可在安全组规则中禁用22端口的访问。 如非必须,集群节点不建议绑定EIP。 如有远程登录集群节点的需求,推荐使用华为云堡垒机服务作为中转连接集群节点。 父主题: 安全加固