检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
的网络配置外,还需要关注所访问的云服务是否允许外部访问,如DCS的Redis实例,需要添加白名单才允许访问(如果无法直接在对应服务界面添加白名单,可在对应服务中创建工单寻求帮助)。下面分别介绍从Pod访问ECS和从Pod访问RDS for MySQL实例的相关操作和注意事项。 前提条件
namespaceSelector:根据命名空间的标签选择,具有该标签的命名空间都可以访问。 podSelector:根据Pod的标签选择,具有该标签的Pod都可以访问。 ipBlock:根据网络选择,网段内的IP地址都可以访问。(仅Egress支持IPBlock) 约束与限制 当前仅容器隧道网络模型的集群支
检查Service是否可以正常访问容器内业务,检查集群内部可能存在的问题。 您可通过在集群中新建Pod并通过ClusterIP访问Service的方式进行检查,如您的服务为NodePort类型,也可通过EIP:Port使用互联网访问服务来验证。 通过kubectl连接集群,查询集群内服务。
用户访问集群API Server的方式有哪些? 当前CCE提供两种访问集群API Server的方式: 集群API方式:(推荐)集群API需要使用证书认证访问。直接连接集群API Server,适合大规模调用。 API网关方式:API网关采用token方式认证,需要使用账号信息获
ngress访问。 通过公网访问工作负载:需要节点或LoadBalancer绑定公网IP。 通过内网访问工作负载:通过节点或LoadBalancer的内网IP即可访问工作负载。如果跨VPC需要通过对等连接等手段打通不同VPC网络。 工作负载访问外部网络: 工作负载访问内网:负载访
默认建议开启 开启过载防护功能不意味着绝对不会过载,极端场景如短时内请求量急剧冲高超出过载调整反应速度时,仍可能有过载现象出现,建议用户针对集群访问行为进行主动管控,避免此类极端场景 父主题: 集群
需要手动吊销集群访问凭证,以确保集群安全。 吊销集群访问凭证的存在两类场景: 子用户(非管理员):支持吊销自身的集群访问凭证。 主账号或管理员用户(admin用户组用户):支持吊销其他用户或委托账号的集群访问凭证。 吊销集群访问凭证后,该凭证的持有人将无法访问集群,且无法恢复已吊销的凭证,请谨慎操作。
与服务Pod同节点 无法访问 无法访问 无法访问 无法访问 与服务Pod不同节点 无法访问 无法访问 无法访问 无法访问 与服务Pod同节点的其他容器 无法访问 无法访问 无法访问 无法访问 与服务Pod不同节点的其他容器 无法访问 无法访问 无法访问 无法访问 nginx-ingr
d/Turbo集群中内容创建。 若工作负载需要被外网访问,请确保集群中至少有一个节点已绑定弹性IP,或已创建负载均衡实例。 单个实例(Pod)内如果有多个容器,请确保容器使用的端口不冲突 ,否则部署会失败。 通过控制台创建 登录CCE控制台。 单击集群名称进入集群,在左侧选择“工
如何配置集群的访问策略 为集群绑定公网API Server地址后,建议修改控制节点5443端口的安全组规则,加固集群的访问控制策略。 登录CCE控制台,单击集群名称进入集群,在总览页面找到“集群ID”并复制。 登录VPC控制台,在左侧导航栏中选择“访问控制 > 安全组”。 在筛选
abbitMQ、ModelArts等。 访问其他云服务除了上面所说的VPC内访问和跨VPC访问的网络配置外,还需要关注所访问的云服务是否允许外部访问,如DCS的Redis实例,需要添加白名单才允许访问。通常这些云服务会允许同VPC下IP访问,但是VPC网络模型下容器网段与VPC网
节点可创建的最大Pod数量计算方式 建议 “容器隧道网络”集群 仅取决于节点最大实例数 - “VPC网络”集群 取决于节点最大实例数和节点可分配容器IP数中的最小值 建议节点最大实例数不要超过节点可分配容器IP数,否则当节点容器IP数不足时,新建Pod将无法在该节点上正常运行。 “云原生2.0网络”集群(CCE
将不是客户端的原始源IP,要启用保留客户端IP,建议配置externalTrafficPolicy值为local。负载均衡类型的service如要选择保留客户端IP,建议选择独享型负载均衡实例。 共享型ELB实例不支持保留客户端源IP地址 父主题: 服务
如图1,若弹性IP一栏有IP地址,表示已绑定弹性IP;若没有,请为弹性云服务器绑定弹性IP。 图1 节点是否已绑定弹性IP 排查项二:节点是否配置网络ACL 登录VPC控制台。 单击左侧导航栏的“访问控制 > 网络ACL”。 排查节点所在集群的子网是否配置了网络ACL,并限制了外部访问。
调度到节点上的Pod依次循环从分配给节点的IP网段内分配IP地址。 图2 VPC网络IP地址管理 按如上IP分配,VPC网络的集群最多能创建节点数量 = 容器网段IP数量 ÷ 节点从容器网段中分配IP网段的IP数量 比如容器网段为172.16.0.0/16,则IP数量为65536,节点分配容器网
步骤一:创建VPC对等连接 登录对等连接控制台。 在页面右上角区域,单击“创建对等连接”。 进入“创建对等连接”页面。 根据界面提示设置对等连接参数。 参数详细说明请参见表1。 图2 创建对等连接 表1 创建对等连接-参数说明 参数 说明 取值样例 对等连接名称 必选参数。 此处填写对等连接的名称。
节点在新的镜像发布前请参考漏洞公告,完成节点漏洞修复。 节点不暴露到公网 如非必需,节点不建议绑定EIP,以减少攻击面。 在必须使用EIP的情况下,应通过合理配置防火墙或者安全组规则,限制非必须的端口和IP访问。 在使用cce集群过程中,由于业务场景需要,在节点上配置了kubeconfig.js
使用IE浏览器访问nginx-ingress出现重定向308无法访问 问题现象 NGINX Ingress控制器从较老的版本升级后,使用IE浏览器无法访问已有的服务,状态码显示为308。 问题根因 NGINX Ingress控制器在升级后默认的永久重定向状态码从301变成了308
在工作负载中获取IAM Token模拟IAM用户访问云服务,操作步骤请参见步骤三:使用工作负载Identity。 主要流程如下: 部署应用Pod并通过挂载身份提供商获取OIDC Token文件。 Pod内程序使用挂载的OIDC Token文件访问IAM获取临时的IAM Token。
集群级别:集群下所有节点的IP+访问端口均可以访问到此服务关联的负载,服务访问会因路由跳转导致一定性能损失,且无法获取到客户端源IP。 节点级别:只有通过负载所在节点的IP+访问端口才可以访问此服务关联的负载,服务访问没有因路由跳转导致的性能损失,且可以获取到客户端源IP。 选择器:添加标
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
