检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
置。 域名:可选填。实际访问的域名地址,该域名需用户购买并备案,并确保所填域名能解析到所选负载均衡实例的服务地址。一旦配置了域名规则,则必须使用域名访问。 路由匹配规则:当前仅支持前缀路由匹配。 前缀路由匹配:例如映射URL为/healthz,只要符合此前缀的URL均可访问。例如
公网访问 概述 公网访问是指使用外部网络访问负载,您可以给负载绑定共享型ELB实例(ELB必须与负载在同一个VPC内),通过ELB实例访问负载,当前外部访问支持四层和七层负载公网访问。 四层公网访问支持TCP和UDP两种协议,设置完成后可以通过“elb公网ip:elb端口”访问负载。
网络访问概述 负载访问可以分为如下几种场景: 内网访问:访问内网资源。 使用“Service”方式访问:该方式适合CCI中同一个命名空间中的负载相互访问。 使用ELB(私网)访问:该方式适合云服务内部资源(云容器实例以外的资源,如ECS等)且与负载在同一个VPC内互相访问,另外在
此处需选择容器实例所在命名空间相同的子网。 图4 配置SNAT规则 SNAT规则配置完成后,您就可以从容器中访问公网了,如下图示例,从容器中能够ping通公网。 图5 从容器中访问公网 父主题: 负载网络访问
单击“下一步”,选择升级策略。 您可以指定无状态工作负载的升级方式,包括逐步“滚动升级”和整体“替换升级”。 滚动升级:将逐步用新版本的实例替换旧版本的实例,升级的过程中,业务流量会同时负载均衡分布到新老的实例上,因此业务不会中断。 最大无效实例数:每次滚动升级允许的最大无效实例数,如果等于实例数有断服风险(最小存活实例数
负载网络访问 网络访问概述 内网访问 公网访问 从容器访问公网
如何从公网访问容器? 负载支持绑定ELB。用户可以给负载绑定ELB实例,通过ELB的地址从外部访问容器负载。具体操作请参见公网访问。 如果您使用kubectl,您也可以参见Service和Ingress,创建Service和Ingress对象,绑定ELB。 父主题: 网络管理类
基于IAM进行访问控制 如果您需要对华为云上购买的CCI资源,为企业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一身份认证服务(Identity and Access Management,简称IAM)进行精细的权限管理。该服务提供用户身份认证、权限分配
IP地址或私网ELB访问负载。 从公网访问负载:从外部访问负载,需要通过Ingress绑定公网ELB,通过ELB的IP访问负载。 从负载中访问公网:通过在NAT网关服务中配置SNAT规则,使得容器能够访问公网,具体配置方法请参见从容器访问公网。 图1 网络访问示意图 父主题: 使
身份认证与访问控制 CCI当前认证鉴权是在Kubernetes的角色访问控制(RBAC)与统一身份认证服务(IAM)的能力基础上,提供的基于IAM的细粒度权限控制和IAM Token认证,同时支持命名空间级别及命名空间以下资源的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。
使用client-go访问CCI 本节将介绍如何将CCI认证工具cci-iam-authenticator与client-go结合使用以调用API。 安装cci-iam-authenticator 请参考使用kubectl,下载安装及设置cci-iam-authenticator。
detection_script.sh,并在CCI界面触发应用的滚动升级,如图6修改了容器规格,触发了应用的滚动升级。 图6 修改容器规格 滚动升级的过程中,应用的访问并未中断,并且返回的请求都是“200OK”,说明升级过程是优雅升级,没有中断的。 父主题: 负载管理
身份认证与访问控制 基于IAM进行访问控制 身份认证与访问控制 父主题: 安全
转发到的Service端口 Ingress中还可以设置外部域名,这样您就可以通过域名来访问到ELB,进而访问到后端服务。 域名访问依赖于域名解析,需要您将域名解析指向ELB实例的IP地址,例如您可以使用云解析服务 DNS来实现域名解析。 spec: rules: - host:
如何从容器访问公网? 您可以使用公有云平台提供的NAT网关服务。该服务能够为虚拟私有云内的容器提供网络地址转换(Network Address Translation)服务,使虚拟私有云内的容器可以共享使用弹性公网IP访问Internet。通过NAT网关的SNAT功能,可以直接访
Service 直接访问Pod的问题 负载创建完成后,如何访问负载呢?访问负载实际上就是访问Pod,但是直接访问Pod会有如下几个问题: Pod会随时被Deployment这样的控制器删除重建,那访问Pod的结果就会变得不可预知。 Pod的IP地址是在Pod启动后才被分配,在启动前并不知道Pod的IP地址。
查看您创建的负载详情-> 选择访问配置 -> 选择访问事件”,查看访问事件,查看是否有告警事件。如下两种情况为无法访问公网的事件。 Listener port is repeated:ELB监听器端口重复,是由于之前发布公网访问的负载,删除之后立刻创建使用相同ELB端口的公网访问负载,ELB实际
负载访问504问题定位思路 负载访问504问题一般是因为ELB实例绑定的Port到后端 CCI 负载Pod的安全组没有放通。查看CCI负载Pod使用的安全组,确保安全组规则放通ELB实例绑定的Port。 Pod绑定的安全组可以通过查看负载对应Network获得,调用Network接口,响应里面metadata
使用Service和Ingress管理网络访问 Service Ingress 网络访问场景 业务探针(Readiness probe)
使用kubernetes官方Java SDK访问CCI 本节将介绍如何将CCI认证工具cci-iam-authenticator与kubernetes-client/java结合使用以调用API。 安装cci-iam-authenticator 请参考使用kubectl,下载安装
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
