检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
的网络,容器的网络是使用专门的网络插件来管理。 节点网络 节点网络为集群内主机(节点,图中的Node)分配IP地址,您需要选择VPC中的子网用于CCE集群的节点网络。子网的可用IP数量决定了集群中可以创建节点数量的上限(包括Master节点和Node节点),集群中可创建节点数量还
网桥会负责将所有非本地地址的流量进行转发。因此,同一节点上的Pod可以直接通信。 不同节点上的Pod通信 Kubernetes要求集群Pod的地址唯一,因此集群中的每个节点都会分配一个子网,以保证Pod的IP地址在整个集群内部不会重复。在不同节点上运行的Pod通过IP地址互相访问
CCE集群实现访问跨VPC网络通信 使用VPC和云专线实现容器与IDC之间的网络通信 自建IDC与CCE集群共享域名解析 通过负载均衡配置实现会话保持 不同场景下容器内获取客户端源IP 通过配置容器内核参数增大监听队列长度 为负载均衡类型的Service配置pass-through能力 从Pod访问集群外部网络
16)的IP网段。 当节点上的IP地址使用完后,可再次申请分配一个新的IP网段。 容器网段依次循环分配IP网段给新增节点或存量节点。 调度到节点上的Pod依次循环从分配给节点的一个或多个IP网段内分配IP地址。 图2 容器隧道网络IP地址分配 按如上IP分配,容器隧道网络的集群最多能创建节点数量
CCE集群安全配置建议 CCE节点安全配置建议 CCE容器运行时的安全配置建议 在CCE集群中使用容器的安全配置建议 在CCE集群中使用镜像服务的安全配置建议 在CCE集群中使用密钥Secret的安全配置建议 在CCE集群中使用工作负载Identity的安全配置建议
配置网络策略(NetworkPolicy)限制Pod访问的对象 网络策略(NetworkPolicy)是Kubernetes设计用来限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。 默认情况下,如果命名空间中
容器网络 容器网络模型对比 云原生网络2.0模型 VPC网络模型 容器隧道网络模型 Pod网络配置 父主题: 网络
如集群在创建时需要指定节点安全组,请参考集群自动创建的默认安全组规则放通指定端口,以保证集群中的正常网络通信。 不同网络模型的默认安全组规则如下: VPC网络模型安全组规则 容器隧道网络模型安全组规则 云原生网络2.0(CCE Turbo集群)安全组规则 安全组规则的修改和删除可能会影响集群的正常运行,请谨慎操作
Kubernetes网络 容器网络 Service Ingress 就绪探针(Readiness Probe) NetworkPolicy
Turbo集群支持使用云原生网络2.0。 适用场景 性能要求高,需要使用VPC其他网络能力的场景:由于云原生网络2.0直接使用的VPC网络,性能与VPC网络的性能几乎一致,所以适用于对带宽、时延要求极高的业务场景,比如:线上直播、电商优惠等。 大规模组网:云原生网络2.0当前最大可支持2000个ECS节点,10万个容器。
网络管理 网络异常问题排查 网络规划 安全加固 网络指导
更改集群节点的默认安全组 操作场景 集群在创建时可指定自定义节点安全组,方便统一管理节点的网络安全策略。对于已创建的集群,支持修改集群默认的节点安全组。 约束与限制 一个安全组关联的实例数量建议不超过1000个,否则可能引起安全组性能下降。更多关于安全组的限制请参考安全组限制。
节点内Pod间通信:IPVlan子接口分配给节点上的Pod,因此同节点的Pod间通信可以直接通过IPVlan进行转发。 跨节点Pod间通信:所有跨节点Pod间的通信均根据VPC路由表中的路由先访问到默认网关,然后借助VPC的路由转发能力,将访问流量转发到另一个节点上的Pod。 Pod访问公网:集群内的容器在访问公网
安全运行时与普通运行时 相比于普通运行时,安全运行时可以让您的每个容器(准确地说是Pod)都运行在一个单独的微型虚拟机中,拥有独立的操作系统内核,以及虚拟化层的安全隔离。通过使用安全运行时,不同容器之间的内核、计算资源、网络都是隔离开的,保护了Pod的资源和数据不被其他Pod抢占和窃取。 CCE
对性能要求不高:由于需要额外的VXLAN隧道封装,相对于另外两种容器网络模式,性能存在一定的损耗(约5%-15%)。所以容器隧道网络适用于对性能要求不是特别高的业务场景,比如:Web应用、访问量不大的数据中台、后台服务等。 大规模组网:相比VPC路由网络受限于VPC路由条目配额的限制,容器隧道
限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。 默认情况下,如果命名空间中不存在任何策略,则所有进出该命名空间中的Pod的流量都被允许。 NetworkPolicy的规则可以选择如下3种:
19版本。 最新版本的集群修复了已知的漏洞或者拥有更完善的安全防护机制,新建集群时推荐选择使用最新版本的集群。在集群版本停止提供服务前,请及时升级到新版本。 及时跟踪处理官网发布的漏洞 CCE服务会不定期发布涉及的漏洞,用户需及时关注和处理,参见漏洞公告。 关闭default的servic
安全加固 集群节点如何不暴露到公网? 如何配置集群的访问策略 如何获取TLS密钥证书? 如何批量修改集群node节点安全组? 父主题: 网络管理
客户端ID:填写一个ID,后续创建容器时使用。 签名公钥:CCE集群的jwks,获取方法请参见步骤一:获取CCE集群的签名公钥。 身份转换规则 身份映射规则是将工作负载的ServiceAccount和IAM用户做映射。 例如在集群default命名空间下创建一个名为oidc-token的ServiceAccount,
io/ingress-bandwidth:Pod的入口带宽 kubernetes.io/egress-bandwidth:Pod的出口带宽 如果不设置这两个参数,则表示不限制带宽。 修改Pod出/入口带宽限速后,需要重启容器才可生效。由于独立创建的Pod(不通过工作负载管理)修改anno
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
