检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
使用Service和Ingress管理网络访问 Service Ingress 网络访问场景 业务探针(Readiness probe)
导入存储 功能介绍 导入已有存储到指定的命名空间。 当前支持导入EVS(云硬盘卷,块存储)、SFS(文件存储卷)、SFS Turbo(极速文件存储卷)、OBS(对象存储卷),使用时 spec.storageClassName 参数的取值如下: sata:普通I/O云硬盘卷 sas:高I/O云硬盘卷
如何从公网访问容器? 负载支持绑定ELB。用户可以给负载绑定ELB实例,通过ELB的地址从外部访问容器负载。具体操作请参见公网访问。 如果您使用kubectl,您也可以参见Service和Ingress,创建Service和Ingress对象,绑定ELB。 父主题: 网络管理类
etes中一个namespace内的网络。目前CCI支持VPC网络,一个VPC网络类型的network对象对应于华为云虚拟私有云服务中的一个子网。 CCI的容器网络依赖于华为云底层VPC网络,因此在创建network对象前,需要先调用虚拟私有云的接口创建或者查询已有子网信息。 须知:
dns插件。此时pod的dnsPolicy需要设置为ClusterFirst。 在插件市场界面可以单击,将coredns插件安装在指定的namesapce下。 图1 创建插件 如果用户负载不需要k8s内部域名解析服务,但是需要使用域名解析服务,此时pod的dnsPolicy需要设置为Default。
如何从容器访问公网? 您可以使用公有云平台提供的NAT网关服务。该服务能够为虚拟私有云内的容器提供网络地址转换(Network Address Translation)服务,使虚拟私有云内的容器可以共享使用弹性公网IP访问Internet。通过NAT网关的SNAT功能,可以直接访问Inter
错误码 调用接口出错后,将不会返回结果数据。调用方可根据每个接口对应的错误码来定位错误原因。 当调用出错时,HTTP请求返回一个 4xx 或 5xx 的HTTP状态码。返回的消息体中是具体的错误代码及错误信息。在调用方找不到错误原因时,可以联系华为云客服,并提供错误码,以便我们尽快帮您解决问题。
Workloads的定义方式相同,是对Pod的服务化封装。一个无状态负载可以包含一个或多个Pod,每个Pod的角色相同,所以系统会自动为无状态负载的多个Pod分发请求。同一无状态负载的所有Pod共享存储卷。 在Pod这个章节介绍了Pod,Pod是Kubernetes创建或部署的最小单位,
身份认证与访问控制 基于IAM进行访问控制 身份认证与访问控制 父主题: 安全
CCI支持负载均衡,当前在CCI创建工作负载的访问设置页面中,内网访问(使用私网ELB访问)和公网访问中的配置都是负载均衡方式。 通常所说的负载均衡一般指的是公网负载均衡,CCI对接负载均衡服务。 通过CCI创建工作负载时,在设置访问设置的页面,可以根据需要选择内网访问和外网访问,然后配置负载均衡。
公网能正常访问的前提是负载已处于运行中状态,如果您的负载处于未就绪或异常状态,公网访问将无法正常使用。 从负载开始创建到公网可以正常访问可需要1分钟到3分钟的时间,在此时间内网络路由尚未完成配置,请稍作等待。 负载创建3分钟以后仍然无法访问。在“工作负载 -> 查看您创建的负载详情->
上一节中讲了创建LoadBalancer类型的Service,使用ELB实例从外部访问Pod。 但是Service是基于四层TCP和UDP协议转发的,Ingress可以基于七层的HTTP和HTTPS协议转发,可以通过域名和路径做到更细粒度的划分,如下图所示。 图1 Ingress-Service
直接访问Pod的问题 负载创建完成后,如何访问负载呢?访问负载实际上就是访问Pod,但是直接访问Pod会有如下几个问题: Pod会随时被Deployment这样的控制器删除重建,那访问Pod的结果就会变得不可预知。 Pod的IP地址是在Pod启动后才被分配,在启动前并不知道Pod的IP地址。
Probe高级配置样例。 Exec:probe执行容器中的命令并检查命令退出的状态码,如果状态码为0则说明已经就绪。 Readiness Probe的工作原理 如果调用kubectl describe命令查看Service的信息,您会看到如下信息。 $ kubectl describe
job的pod已经执行完成的情况下,为什么依然有实例在挂卷等事件,并且事件信息是失败的? 问题现象: job的Pod已经执行完成的情况下,依然有实例在挂卷等事件,并且事件信息是失败的。 图1 问题截图 问题原因: 各种类型的Pod(Deployment/StatefulSet/J
CCI当前认证鉴权是在Kubernetes的角色访问控制(RBAC)与统一身份认证服务(IAM)的能力基础上,提供的基于IAM的细粒度权限控制和IAM Token认证,同时支持命名空间级别及命名空间以下资源的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。 命名空间权限:是基于Kubernetes
"、"https://www.googleapis.com"、"https://storage.googleapis.com"等域名的公网地址均为开源仓内自带的公网地址,CCI服务不涉及与此类公网地址的连接,也不会与此类公网地址进行任何数据交换。 k8s.io/kubernetes开源社区链接:https://github
对权限最小化的安全管控要求。 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。这是一种更加灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对ECS服务,管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多
CI服务均不受本次漏洞的影响,无需进行处理。 漏洞详情 Kubernetes官方发布安全漏洞(CVE-2020-8558),Kubernetes节点的设置允许相邻主机绕过本地主机边界进行访问。 Kubernetes集群节点上如果有绑定在127.0.0.1上的服务,则该服务可以被同
提供简单易用、安全可靠地镜像管理功能,帮助用户快速部署容器化服务。 您可以使用容器镜像服务中的镜像创建负载。 虚拟私有云 虚拟私有云(Virtual Private Cloud,VPC)是用户在云平台上申请的隔离的、私密的虚拟网络环境。用户可以自由配置VPC内的IP地址段、子网、安全组等子服务,也可以申请弹性带宽和弹性IP搭建业务系统。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
