更新时间:2024-08-17 GMT+08:00

集群访问配置

访问方式

  • kubectl:您需要先下载kubectl以及kubeconfig配置文件,完成配置后,即可以使用kubectl访问Kubernetes集群。详情请参见通过kubectl连接集群
  • 公网地址:为Kubernetes集群的API Server绑定弹性公网IP。配置完成后,集群API Server将具有公网访问能力。
    • 绑定弹性公网IP后,集群存在公网访问风险,建议为控制节点安全组加固5443端口的入方向规则。详情请参见如何配置集群的访问策略
    • 此操作将会短暂重启 kube-apiserver 并更新集群访问证书(kubeconfig),请避免在此期间操作集群。
  • 自定义 SAN:主题备用名称(SAN)允许将多种值(包括IP地址、域名等)与证书关联,在集群访问证书中签入自定义SAN后,可以通过SAN定义的域名或IP访问集群。详情请参见通过自定义域名访问集群

    此操作将会短暂重启 kube-apiserver 并更新集群访问证书(kubeconfig),请避免在此期间操作集群。

认证鉴权

CCE支持下载X509证书,证书中包含client.key、client.crt、ca.crt三个文件,请妥善保管您的证书,不要泄露。

如需使用证书访问集群,请参考通过X509证书连接集群

服务端请求处理配置

表1 服务端请求处理配置参数说明

名称

参数

说明

取值

修改类API请求最大并发数

max-mutating-requests-inflight

修改类请求的最大并发数。 当服务器收到的请求数超过此值时,它会拒绝请求。

0表示无限制。该参数与集群规模相关,不建议修改。

从v1.21版本开始不再支持手动配置,根据集群规格自动配置如下:

  • 50和200节点:200
  • 1000节点:500
  • 2000节点:1000

非修改类API请求最大并发数

max-requests-inflight

非修改类请求的最大并发数。 当服务器收到的请求数超过此值时,它会拒绝请求。

0表示无限制。该参数与集群规模相关,不建议修改。

从v1.21版本开始不再支持手动配置,根据集群规格自动配置如下:

  • 50和200节点:400
  • 1000节点:1000
  • 2000节点:2000

请求超时时间

request-timeout

kube-apiserver组件的默认请求超时时间,请谨慎修改此参数,确保取值合理性,以避免频繁出现接口超时或其他异常。

该参数仅v1.19.16-r30、v1.21.10-r10、v1.23.8-r10、v1.25.3-r10及以上版本集群支持。

默认:

1m0s

取值范围:

min>=1s

max<=1h

开启过载防护

support-overload

集群过载控制开关,开启后将根据控制节点的资源压力,动态调整请求并发量,维护控制节点和集群的可靠性。详情请参见开启集群过载控制

该参数仅v1.23及以上版本集群支持。

说明:

开启过载防护功能不意味着绝对不会过载,极端场景如短时内请求量急剧冲高超出过载调整反应速度时,仍可能有过载现象出现,建议您针对集群访问行为进行主动管控,避免此类极端场景。

-