检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CCE容器网络扩展指标 插件介绍 CCE容器网络扩展指标插件(dolphin)是一款容器网络流量监控管理插件,支持CCE Turbo集群非主机网络容器的流量统计,以及节点内容器联通性健康检查。 字段说明 表1 参数描述 参数 是否必选 参数类型 描述 basic 否 object
容器端口:工作负载程序实际监听的端口,需用户确定。例如nginx默认使用80端口。 服务端口:Service使用的端口,端口范围为1-65535。 负载均衡服务支持创建某个端口范围的监听器,您最多可为每个监听器添加10个互不重叠的监听端口段。 为负载均衡服务配置区间端口监听需满足以下条件:
# Service访问目标容器的端口,本例中nginx镜像默认使用80端口 selector: # 标签选择器,Service通过标签选择Pod,将访问Service的流量转发给Pod app: nginx type:
ough能力 操作场景 对于负载均衡类型的Service,负责集群内部流量转发的kube-proxy组件默认会将Service绑定的ELB IP地址配置到节点本地的转发规则中,从集群内部访问ELB的地址时,流量就会直接在集群内部转发,而不会经过ELB转发。 如果Service设置
ough能力 操作场景 对于负载均衡类型的Service,负责集群内部流量转发的kube-proxy组件默认会将Service绑定的ELB IP地址配置到节点本地的转发规则中,从集群内部访问ELB的地址时,流量就会直接在集群内部转发,而不会经过ELB转发。 如果Service设置
多个Ingress使用同一个ELB对外端口的配置说明 在同一个集群中,多个Ingress可以使用同一个监听器(即使用同一个负载均衡器的同一个端口)。如果两个Ingress设置了不同的监听器配置,则实际生效的监听器配置将以最早创建的Ingress(以下简称为“首路由”)配置为准。关
target_service_port 是 String spec.ports添加健康检查的目标端口,由协议、端口号组成,如:TCP:80 monitor_port 否 String 重新指定的健康检查端口,不指定时默认使用业务端口。 说明: 请确保该端口在Pod所在节点已被监听,否则会影响健康检查结果。
集群A和ECS位于同一VPC内,且该VPC内已存在一个ELB。配置同VPC内跨集群的后端,集群A的Service接收流量权重设置为80,并添加2台ECS后端,设置接收流量权重为20。步骤如下: 在ELB服务创建好监听器(如80端口监听器)及后端服务器组,手动添加ECS后端服务器,并总权重设置为20。操作详情请参见配置同VPC的服务器作为后端服务器。
获取上述数据的方法如下所示。 查询当前所有Service。 Service的返回信息中annotations字段可以查出Service关联的ELB。 kubernetes.io/elb.id kubernetes.io/elb.class 根据上一步查询到ELB实例ID,使用查询监听器接口查询监听器ID。
系统将自动创建名为default-nginx-ingress的日志采集策略。创建完成后,您可前往“日志中心”页面,选择“插件日志”页签,即可查看该插件上报到云日志服务(LTS)的日志。 图4 查看日志 步骤三:查看NGINX Ingress控制器插件日志 登录CCE控制台,进入一个已有的集群,在左侧导航栏中选择“日志中心”。
误删除该资源需要使用正确的配置重新创建default-network资源。 启动iptables防火墙 CCE默认不开启iptables防火墙,开启后可能造成网络不通 说明: 不建议开启iptables防火墙。如必须启动iptables防火墙,请在测试环境中确认/etc/sysconfig/iptables和
在“总览”页面,查看控制节点信息,将会显示“过载等级”指标。 过载等级如下: 熔断:拒绝所有外部流量 重度过载:拒绝75%外部流量 中度过载:拒绝50%外部流量 轻度过载:拒绝25%外部流量 正常:不拒绝外部流量 方式二:应用运维管理界面 您可登录应用运维管理控制台,创建一个仪表盘,并在仪表盘中添加名为vein
若openssh版本小于1:8.9p1-3ubuntu0.10,且开放了SSH端口(默认为22),则受该漏洞影响。 查看SSH端口是否开放的命令如下: netstat -tlnp|grep -w 22 若查询结果显示存在SSH端口正在监听,则表示该节点已开放了SSH访问。 漏洞消减方案 对于存量的集群节点,请按以下方法进行修复:
漏洞详情 CVE-2020-8554是Kubernetes社区发现的关于集群内网络流量劫持的安全问题。具有创建和更新Service和Pod对象权限的潜在攻击者,能够劫持集群内来自其他Pod或者节点的流量。潜在攻击者通过设置Service对象的spec.externalIPs字段,能
Ingress 流量切换前,假设您已将业务域名通过A记录解析的方式指向了自建Nginx Ingress的公网地址。您可以使用DNS的流量权重分配,逐步将访问原Nginx Ingress的流量切换至新的ELB Ingress。 图1 使用DNS切流 您可以通过以下步骤完成流量的切换。 进入公网域名列表页面。
配置过大可能会导致kube-apiserver过载,配置过小可能会触发客户端限流,对控制器性能产生影响 控制器访问kube-apiserver的突发流量上限 控制器访问kube-apiserver的突发流量上限 参数名 取值范围 默认值 是否允许修改 作用范围 kube-api-burst 大于等于0 默认值100;1000节点以上规格值为200
用户创建Ingress资源,在Ingress中配置流量访问规则,包括负载均衡器、访问路径、SSL以及访问的后端Service端口等。 Ingress Controller监听到Ingress资源发生变化时,就会根据其中定义的流量访问规则,在ELB侧重新配置监听器以及后端服务器路由。 当用户进行访问时,流量根据ELB中
IP和端口,从而让Service在节点上可以被查询到。 下图是一个实际访问Service的图示,Pod X访问Service(10.247.124.252:8080),在往外发数据包时,在节点上根据iptables规则目的IP:Port被随机替换为Pod1的IP:Port,从而通过Service访问到实际的Pod。
15及以上版本的集群创建时开启了IPv6功能才会显示。 端口配置: 协议:请根据业务的协议类型选择。 服务端口:Service使用的端口,端口范围为1-65535。 容器端口:工作负载程序实际监听的端口,需用户确定。例如nginx默认使用80端口。 单击“确定”,创建Service。 通过kubectl命令行创建
Ingress ELB Ingress 产品定位 七层流量治理,提供丰富的高级路由功能。 七层流量治理,提供丰富的高级路由功能。与云原生深度集成,提供高可用、高性能、超安全、多协议的全托管免运维负载均衡服务。 具备弹性能力,流量突发时支持扩展计算资源。 同时支持千万级并发连接,百万级新建连接。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
