集群访问配置
访问方式
- kubectl:您需要先下载kubectl以及kubeconfig配置文件,完成配置后,即可以使用kubectl访问Kubernetes集群。详情请参见通过kubectl连接集群。
- 公网地址:为Kubernetes集群的API Server绑定弹性公网IP。配置完成后,集群API Server将具有公网访问能力。
- 绑定弹性公网IP后,集群存在公网访问风险,建议为控制节点安全组加固5443端口的入方向规则。详情请参见如何配置集群的访问策略。
- 此操作将会短暂重启 kube-apiserver 并更新集群访问证书(kubeconfig),请避免在此期间操作集群。
- 自定义 SAN:主题备用名称(SAN)允许将多种值(包括IP地址、域名等)与证书关联,在集群访问证书中签入自定义SAN后,可以通过SAN定义的域名或IP访问集群。详情请参见通过自定义域名访问集群。
此操作将会短暂重启 kube-apiserver 并更新集群访问证书(kubeconfig),请避免在此期间操作集群。
认证鉴权
CCE支持下载X509证书,证书中包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。
如需使用证书访问集群,请参考通过X509证书连接集群。
服务端请求处理配置
名称 |
参数 |
说明 |
取值 |
---|---|---|---|
修改类API请求最大并发数 |
max-mutating-requests-inflight |
修改类请求的最大并发数。 当服务器收到的请求数超过此值时,它会拒绝请求。 0表示无限制。该参数与集群规模相关,不建议修改。 |
从v1.21版本开始不再支持手动配置,根据集群规格自动配置如下:
|
非修改类API请求最大并发数 |
max-requests-inflight |
非修改类请求的最大并发数。 当服务器收到的请求数超过此值时,它会拒绝请求。 0表示无限制。该参数与集群规模相关,不建议修改。 |
从v1.21版本开始不再支持手动配置,根据集群规格自动配置如下:
|
请求超时时间 |
request-timeout |
kube-apiserver组件的默认请求超时时间,请谨慎修改此参数,确保取值合理性,以避免频繁出现接口超时或其他异常。 该参数仅v1.19.16-r30、v1.21.10-r10、v1.23.8-r10、v1.25.3-r10及以上版本集群支持。 |
默认: 1m0s 取值范围: min>=1s max<=1h |
开启过载防护 |
support-overload |
集群过载控制开关,开启后将根据控制节点的资源压力,动态调整请求并发量,维护控制节点和集群的可靠性。详情请参见开启集群过载控制。 该参数仅v1.23及以上版本集群支持。
说明:
开启过载防护功能不意味着绝对不会过载,极端场景如短时内请求量急剧冲高超出过载调整反应速度时,仍可能有过载现象出现,建议您针对集群访问行为进行主动管控,避免此类极端场景。 |
- |