-
配置网络策略限制Pod访问的对象 - 云容器引擎 CCE
配置网络策略限制Pod访问的对象 NetworkPolicy是Kubernetes设计用来限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。NetworkPolicy支持的能力取决于集群的网络插件的能力。
-
集群安全组规则配置 - 云容器引擎 CCE
不同网络模型的默认安全组规则如下: VPC网络模型安全组规则 容器隧道网络模型安全组规则 云原生网络2.0(CCE Turbo集群)安全组规则 安全组规则的修改和删除可能会影响集群的正常运行,请谨慎操作。如需修改安全组规则,请尽量避免对CCE运行依赖的端口规则进行修改。
-
更改集群节点的默认安全组 - 云容器引擎 CCE
更改集群节点的默认安全组 操作场景 集群在创建时可指定自定义节点安全组,方便统一管理节点的网络安全策略。对于已创建的集群,支持修改集群默认的节点安全组。 约束与限制 一个安全组关联的实例数量建议不超过1000个,否则可能引起安全组性能下降。更多关于安全组的限制请参考安全组限制。
-
NetworkPolicy - 云容器引擎 CCE
NetworkPolicy NetworkPolicy是Kubernetes设计用来限制Pod访问的对象,相当于从应用的层面构建了一道防火墙,进一步保证了网络安全。
-
容器隧道网络模型说明 - 云容器引擎 CCE
缺点 由于隧道封装,网络问题排查难度较大,整体性能较低。 Pod无法直接利用EIP、安全组等能力。 不支持外部网络与容器IP直接进行网络通信。 应用场景 对性能要求不高:由于需要额外的VXLAN隧道封装,相对于另外两种容器网络模式,性能存在一定的损耗(约5%-15%)。
-
安全 - 云容器引擎 CCE
安全 安全配置概述 CCE集群安全配置建议 CCE节点安全配置建议 在CCE集群中使用容器的安全配置建议 在CCE集群中使用密钥Secret的安全配置建议 在CCE集群中使用工作负载Identity的安全配置建议
-
网络 - 云容器引擎 CCE
网络 集群网络地址段规划实践 集群网络模型选择及各模型区别 使用VPC和云专线实现容器与IDC之间的网络通信 自建IDC与CCE集群共享域名解析 通过负载均衡配置实现会话保持 不同场景下容器内获取客户端源IP 通过配置容器内核参数增大监听队列长度 为负载均衡类型的Service配置
-
安全运行时与普通运行时 - 云容器引擎 CCE
通过使用安全运行时,不同容器之间的内核、计算资源、网络都是隔离开的,保护了Pod的资源和数据不被其他Pod抢占和窃取。
-
容器网络 - 云容器引擎 CCE
容器网络 Kubernetes本身并不负责网络通信,但提供了容器网络接口CNI(Container Network Interface),具体的网络通信交由CNI插件来实现。开源的CNI插件非常多,像Flannel、Calico等。
-
安全加固 - 云容器引擎 CCE
安全加固 集群节点如何不暴露到公网? 如何配置集群的访问策略 如何获取TLS密钥证书? 如何批量修改集群node节点安全组? 父主题: 网络管理
-
网络管理 - 云容器引擎 CCE
网络管理 网络规划 网络异常 安全加固 网络指导
-
什么是云原生网络2.0网络模式,适用于什么场景? - 云容器引擎 CCE
什么是云原生网络2.0网络模式,适用于什么场景?
-
集群网络模型选择及各模型区别 - 云容器引擎 CCE
核心技术 OVS IPVlan,VPC路由 VPC弹性网卡/弹性辅助网卡 适用集群 CCE Standard集群 CCE Standard集群 CCE Turbo集群 容器网络隔离 Pod支持Kubernetes原生NetworkPolicy 否 Pod支持使用安全组隔离 ELB对接
-
容器网络 - 云容器引擎 CCE
容器网络 容器网络模型对比 云原生网络2.0模型 VPC网络模型 容器隧道网络模型 Pod网络配置 父主题: 网络
-
VPC网络模型说明 - 云容器引擎 CCE
Pod无法直接利用EIP、安全组等能力。 应用场景 性能要求较高:由于没有额外的隧道封装,相比于容器隧道网络模式,VPC网络模型集群的容器网络性能接近于VPC网络性能,所以适用于对性能要求较高的业务场景,比如:AI计算、大数据计算等。
-
Kubernetes网络 - 云容器引擎 CCE
Kubernetes网络 容器网络 Service Ingress 就绪探针(Readiness Probe) NetworkPolicy
-
网络概述 - 云容器引擎 CCE
地址,支持ELB直通容器,绑定安全组,绑定弹性公网IP,享有高性能。
-
为Pod配置QoS - 云容器引擎 CCE
父主题: Pod网络配置
-
CCE集群安全配置建议 - 云容器引擎 CCE
云原生网络2.0 云原生网络2.0模型下,可以通过配置安全组达到Pod间网络隔离。具体使用请参见SecurityGroup。 VPC网络 暂不支持网络隔离。 kubelet开启Webhook鉴权模式 v1.15.6-r1及之前版本的CCE集群涉及。
-
Pod安全配置 - 云容器引擎 CCE
Pod安全配置 PodSecurityPolicy配置 Pod Security Admission配置 父主题: 工作负载