检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
无法访问 无法访问 DNAT网关类型Service 公网 与服务Pod同节点 无法访问 无法访问 无法访问 无法访问 与服务Pod不同节点 无法访问 无法访问 无法访问 无法访问 与服务Pod同节点的其他容器 无法访问 无法访问 无法访问 无法访问 与服务Pod不同节点的其他容器 无法访问
从Pod访问集群外部网络 从Pod访问公网 从Pod访问同一VPC网络的云服务 从Pod访问不同VPC网络的云服务 父主题: 网络
登录云容器引擎(CCE)控制台,单击集群名称进入集群,选择左侧导航栏的“日志中心”。 未进行授权的用户需要先授权,已授权的用户可忽略本步骤。 在弹出框中单击“确认授权”。 图1 添加授权 在页面中勾选需要采集的日志类型,单击“开启”,等待约30秒后,页面自动跳转。 图2 开启 采集容器标准输出:您可按需开启,开启
er与聚合API server的网络直接连通,攻击者就可以利用这个漏洞向聚合API服务器发送任何API请求; 如果集群开启了匿名用户访问的权限,则匿名用户也利用这个漏洞。不幸的是Kubernetes默认允许匿名访问,即kube-apiserver的启动参数”-- anonymou
Ingress配置黑名单/白名单访问策略 使用ELB Ingress时,您可以通过添加白名单和黑名单的方式控制访问负载均衡监听器的IP。 白名单:指定的IP允许访问,而其它IP不能访问。 黑名单:指定的IP不能访问,而其它IP允许访问。 配置黑名单/白名单访问策略后,如果您在CCE控制
Service解决了Pod的内外部访问问题,但还有下面这些问题没解决。 同时访问所有Pod 一个Service内部的Pod互相访问 Headless Service正是解决这个问题的,Headless Service不会创建ClusterIP,并且查询会返回所有Pod的DNS记录,这样就
单击后方“选择镜像”,选择容器使用的镜像。 容器镜像服务 共享版:提供简单易用、安全可靠的镜像管理功能。 我的镜像:可选择您上传的私有镜像。关于上传镜像的操作详情请参见客户端上传镜像。 镜像中心:可选择SWR提供的公共镜像。关于镜像中心的说明请参见镜像中心。 共享镜像:可选择由其他账号共享的镜像。关于共享镜像的操作详情请参见共享私有镜像。
ELB监听器访问控制配置项检查异常处理 检查项内容 检查当前集群Service是否通过annotation配置了ELB监听器的访问控制。 若有配置访问控制则检查相关配置项是否正确。 解决方案 如果配置项存在错误,请参考为负载均衡类型的Service配置黑名单/白名单访问策略进行重新配置。
NodePort:用于从集群外部访问的场景,通过节点上的端口访问Service,详细介绍请参见NodePort类型的Service。 LoadBalancer:用于从集群外部访问的场景,其实是NodePort的扩展,通过一个特定的LoadBalancer访问Service,这个LoadBalanc
节点无法连接互联网(公网),如何排查定位? 当节点无法连接互联网时,请参照如下方法排查。 排查项一:节点是否绑定弹性IP 登录ECS控制台,查看节点对应的弹性云服务器是否已绑定弹性IP。 若弹性IP一栏有IP地址,表示已绑定弹性IP。若没有,请为弹性云服务器绑定弹性IP。 图1 节点是否已绑定弹性IP
在Kubernetes集群中,当一个节点需要访问位于其他节点上的Pod时,通常情况下,Pod的响应数据包会被自动执行SNAT,此时源地址会从Pod的IP地址变更为节点的IP地址。这种自动的IP地址转换可能会导致通信异常,从而使得跨节点的访问变得不可行。 为了确保节点能够正常访问位于其他节点上的Pod,需要将节
对于需要在节点上提前安装一些工具或者做用户自定义的安全加固等操作时,需要在创建节点的时候注入一些脚本。CCE创建节点提供了Kubernetes安装前和安装后两处注入脚本的功能。但是使用通常碰到如下限制: 注入脚本的字符有限。 各种需求、场景的多样性可能会经常修改注入的脚本内容,而对于CCE节点池的注入脚本是固定的,不适合经常修改。
连接集群 通过kubectl连接集群 通过CloudShell连接集群 通过X509证书连接集群 通过自定义域名访问集群 配置集群API Server公网访问 吊销集群访问凭证 父主题: 集群
Region)的OBS桶。CCE支持工作负载使用其他区域的OBS桶,在某些场景下有利于提升OBS桶的资源利用率,但跨区域使用OBS相比同区域访问时延波动要更大。 约束与限制 CCE容器存储(Everest)版本要求1.2.42及以上版本。 挂载存储的节点必须能够访问OBS桶,跨区
对性能要求不高:由于需要额外的VXLAN隧道封装,相对于另外两种容器网络模式,性能存在一定的损耗(约5%-15%)。所以容器隧道网络适用于对性能要求不是特别高的业务场景,比如:Web应用、访问量不大的数据中台、后台服务等。 大规模组网:相比VPC路由网络受限于VPC路由条目配额的限制,容器隧道
51s 访问WordPress 获取WordPress的外部访问地址。 单击WordPress工作负载名称,进入工作负载详情页。在“访问方式”页签下可以看到WordPress的IP地址,其中公网地址就是外部访问地址。 图6 访问WordPress应用 在浏览器中输入“外部访问地址:端口”,即可成功访问应用。
一个集群的Pod可以通过容器IP直接访问另外一个集群的Pod。同理,如果两端集群的节点需要相互访问,节点安全组需要放通对端集群的VPC网段。 两端的VPC路由表中均需要添加访问对端网段的路由。例如,VPC 1的路由表需添加访问VPC 2网段的路由,同时,VPC 2的路由表也需要添加访问VPC
1+端口”进行排查。 登录容器的操作步骤请参见登录容器的方法。 访问结果是否符合预期 如果集群内可以正常访问工作负载,但访问结果不符合预期,则需要进一步排查工作负载配置问题,例如镜像版本、环境变量是否正确。详情请参见工作负载状态正常但未正常工作。 Pod常见异常问题 实例状态 问题描述 处理措施
式访问集群。 内网访问:访问集群的客户端机器需要位于集群所在的同一VPC内。 公网访问:访问集群的客户端机器需要具备访问公网的能力,并为集群绑定公网地址。 通过“公网访问”方式访问集群,您需要在总览页中的“连接信息”版块为集群绑定公网地址,如图1所示。绑定公网集群的kube-ap
加权最少连接:最少连接是通过当前活跃的连接数来估计服务器负载情况的一种动态调度算法。加权最少连接就是在最少连接数的基础上,根据服务器的不同处理能力,给每个服务器分配不同的权重,使其能够接受相应权值数的服务请求。常用于长连接服务,例如数据库连接等服务。 源IP算法:将请求的源IP地址进行Hash运算,
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
