全部文档
云容器引擎 CCE云容器引擎 CCE
- 最新动态
- 功能总览
-
服务公告
- 最新公告
- CCE安全使用指引
- Kubernetes版本支持机制
- 操作系统版本同步机制
- Kubernetes版本发布说明
-
漏洞公告
- 漏洞修复策略
- kubernetes subpath符号链接交换安全漏洞(CVE-2021- 25741)
- runc符号链接挂载与容器逃逸漏洞预警公告(CVE-2021-30465)
- Docker资源管理错误漏洞公告(CVE-2021-21285)
- NVIDIA GPU驱动漏洞公告(CVE-2021-1056)
- Sudo缓冲区错误漏洞公告(CVE-2021-3156)
- Kubernetes安全漏洞公告(CVE-2020-8554)
- Apache containerd安全漏洞公告(CVE-2020-15257)
- Docker Engine输入验证错误漏洞公告(CVE-2020-13401)
- Kubernetes kube-apiserver输入验证错误漏洞公告(CVE-2020-8559)
- Kubernetes kubelet资源管理错误漏洞公告(CVE-2020-8557)
- Kubernetes kubelet和kube-proxy授权问题漏洞公告(CVE-2020-8558)
- 修复Kubernetes HTTP/2漏洞公告
- 修复Linux内核SACK漏洞公告
- 修复Docker操作系统命令注入漏洞公告(CVE-2019-5736)
- 全面修复Kubernetes权限许可和访问控制漏洞公告(CVE-2018-1002105)
- 修复Kubernetes Dashboard安全漏洞公告(CVE-2018-18264)
- 产品介绍
- Kubernetes基础知识
- 快速入门
-
用户指南
- 什么是云容器引擎
- 高危操作及解决方案
- 集群管理
- 节点管理
- 节点池管理
- 工作负载
- 亲和/反亲和性调度
- 网络管理
- 存储管理-CSI
- 存储管理-Flexvolume
- 命名空间
- 配置中心
- 模板市场(helm)
- 插件管理
- 弹性伸缩
- 权限管理
- 系统管家
- 云监控服务
- 云审计服务
- 相关服务
- 新版本控制台功能说明
-
最佳实践
- 容器应用部署上云CheckList
- 集群
-
网络
- CCE集群创建时网络模型选择及各模型区别
- CCE集群的网络地址段规划实践
- 从容器访问公网
- 通过负载均衡配置实现会话保持
- 通过VPN实现两个VPC之间的跨Region互通(VPC Router网络)
- 同一VPC下的集群外节点访问集群内的PodIP
- 自建IDC与CCE集群共享域名解析
- 容器与IDC借助VPC+云专线进行网络通信
- 不同场景下容器内获取客户端源IP
- 通过配置容器内核参数增大监听队列长度
- CCE Turbo共池BMS节点容器网卡多队列配置
- 用户在CCE集群的节点上使用多网卡的配置指导
- CCE Turbo集群应用进行优雅滚动升级
- LoadBalancer类型Service使用pass-through能力
- 使用CoreDNS实现自定义域名解析
- 使用NodeLocal DNSCache提升DNS性能
- 存储
- 容器
- 发布
- 微服务治理
- 权限
- 监控
- 弹性伸缩
- 云原生化改造迁移
- 批量计算
-
API参考
- 使用前必读
- API概览
- 如何调用API
- 快速入门
- API
-
Kubernetes API
- Kubernetes API说明
- Node
- Namespace
- Resourcequotas
- Pod
- Deployment
- StatefulSet
- DaemonSet
- Job
- CronJob
- ReplicaSet
- ReplicationController
- Endpoints
- Service
- Ingress
- NetworkPolicy
- PersistentVolume
- PersistentVolumeClaim
- ConfigMap
- Secret
- RBAC
-
API groups
- 列出APIVersions
- 列出APIGroups
- listing APIResources of GroupVersion apiregistration.k8s.io/v1beta1
- listing APIResources of GroupVersion extensions/v1beta1
- listing APIResources of GroupVersion apps/v1&apps/v1beta1
- listing APIResources of GroupVersion authentication.k8s.io/v1
- listing APIResources of GroupVersion authentication.k8s.io/v1beta1
- listing APIResources of GroupVersion authorization.k8s.io/v1
- listing APIResources of GroupVersion authorization.k8s.io/v1beta1
- listing APIResources of GroupVersion autoscaling/v1
- listing APIResources of GroupVersion batch/v1
- listing APIResources of GroupVersion certificates.k8s.io/v1beta1
- listing APIResources of GroupVersion networking.k8s.io/v1
- listing APIResources of GroupVersion policy/v1beta1
- listing APIResources of GroupVersion rbac.authorization.k8s.io/v1beta1
- listing APIResources of GroupVersion storage.k8s.io/v1
- listing APIResources of GroupVersion storage.k8s.io/v1beta1
- listing APIResources of GroupVersion apiextensions.k8s.io/v1beta1
- listing APIResources of GroupVersion v1
- Event
- 历史API
- 数据结构
- 权限和授权项
- 附录
- 修订记录
-
常见问题
- 高频常见问题
- 计费类
- 集群
- 节点
- 节点池
- 工作负载
-
网络管理
- 网络规划
-
网络异常
- 工作负载网络异常时,如何定位排查?
- 为什么访问部署的应用时浏览器返回404错误码?
- 为什么容器无法连接互联网?
- VPC的子网无法删除,怎么办?
- 如何修复出现故障的容器网卡?
- 节点无法连接互联网(公网),如何排查定位?
- 如何解决VPC网段与容器网络冲突的问题?
- ELB四层健康检查导致java报错:Connection reset by peer
- Service事件:Have no node to bind,如何排查?
- 为什么登录虚拟机VNC界面会间歇性出现Dead loop on virtual device gw_11cbf51a, fix it urgently?
- 集群节点使用networkpolicy概率性出现panic问题
- 节点远程登录界面(VNC)打印较多source ip_type日志问题
- 安全加固
- 网络指导
- 其他
- 存储管理
- 模板插件
- 监控日志
- API&kubectl
- 域名DNS
- 镜像仓库
- 参考知识
- 视频帮助
- 文档下载
链接复制成功!
通过Kubectl命令行添加ELB型Ingress
操作场景
本节以nginx工作负载为例,说明kubectl命令添加ELB型Ingress的方法。
前提条件
- Ingress为后端工作负载提供网络访问,因此集群中需提前部署可用的工作负载。若您无可用工作负载,可参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)部署示例nginx工作负载。
- 为上述工作负载配置NodePort类型的Service,可参考节点访问(NodePort)部署示例Service。
添加Ingress-自动创建ELB
下面介绍如何通过kubectl命令在添加Ingress时自动创建ELB。
- 请参见通过kubectl连接集群,使用kubectl连接集群。
- 执行如下命令,创建名为“ingress-test.yaml”的yaml文件。
vi ingress-test.yaml
- 1.15及以上集群版本中的apiVersion为: networking.k8s.io/v1beta1
- 1.13及以下集群版本中的apiVersion为: extensions/v1beta1
yaml文件配置如下:
共享型负载均衡(公网访问)实例:apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: ingress-test annotations: kubernetes.io/elb.class: union kubernetes.io/ingress.class: cce kubernetes.io/elb.port: '80' kubernetes.io/elb.subnet-id: <your_subnet_id> #替换为您的子网所在ID kubernetes.io/elb.enterpriseID: <your_enterprise_id> #替换为您的企业项目ID kubernetes.io/elb.autocreate: '{ "type":"public", "bandwidth_name":"cce-bandwidth-******", "bandwidth_chargemode":"bandwidth", "bandwidth_size":5, "bandwidth_sharetype":"PER", "eip_type":"5_bgp", "name":"james" }' spec: rules: - host: '' http: paths: - path: '/' backend: serviceName: <your_service_name> #替换为您的目标服务名称 servicePort: 80 property: ingress.beta.kubernetes.io/url-match-mode: STARTS_WITH独享型负载均衡(公网访问)实例:
apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: ingress-test namespace: default annotations: kubernetes.io/elb.class: performance kubernetes.io/ingress.class: cce kubernetes.io/elb.port: '80' kubernetes.io/elb.subnet-id: <your_subnet_id> #替换为您的子网所在ID kubernetes.io/elb.enterpriseID: <your_enterprise_id> #替换为您的企业项目ID kubernetes.io/elb.autocreate: '{ "type": "public", "bandwidth_name": "cce-bandwidth-******", "bandwidth_chargemode": "bandwidth", "bandwidth_size": 1, "bandwidth_sharetype": "PER", "eip_type": "5_bgp", "available_zone": [ "cn-south-2b" ], "l7_flavor_name": "L7_flavor.elb.s1.small", "elb_virsubnet_ids": [ "14567f27-8ae4-42b8-ae47-9f847a4690**" ] }' spec: rules: - host: '' http: paths: - path: '/' backend: serviceName: <your_service_name> #替换为您的目标服务名称 servicePort: 80 property: ingress.beta.kubernetes.io/url-match-mode: STARTS_WITH表1 关键参数说明 参数
是否必填
参数类型
描述
kubernetes.io/elb.class
是
String
请根据不同的应用场景和功能需求选择合适的负载均衡器类型。
取值如下:
- union:共享型负载均衡。
- performance:独享型负载均衡,详情请参见共享型弹性负载均衡与独享型负载均衡的功能区别。
默认值:union
kubernetes.io/ingress.class
是
String
cce:表示使用自研ELB型Ingress。
通过API接口创建Ingress时必须增加该参数。
kubernetes.io/elb.port
是
Integer
界面上的对外端口,为注册到负载均衡服务地址上的端口。
取值范围:1-65535。
kubernetes.io/elb.subnet-id
-
String
为集群所在子网的ID,取值范围:1-100字符。
- Kubernetes v1.11.7-r0及以下版本的集群自动创建时:必填。
- Kubernetes v1.11.7-r0以上版本的集群:可不填,默认为空。
kubernetes.io/elb.enterpriseID
是
String
v1.15及以上版本的集群支持此字段,v1.15以下版本默认创建到default项目下。
ELB企业项目ID,选择后可以直接创建在具体的ELB企业项目下。
取值范围:1-100字符。
获取方法:
登录控制台后,单击顶部菜单右侧的“企业 > 项目管理”,在打开的企业项目列表中单击要加入的企业项目名称,进入企业项目详情页,找到“ID”字段复制即可。
kubernetes.io/elb.autocreate
是
elb.autocreate object
自动创建Ingress关联的ELB,详细字段说明参见表2。
示例:
host
否
String
为服务访问域名配置,默认为空,表示域名全匹配。
path
是
String
为路由路径,用户自定义设置。所有外部访问请求需要匹配host和path。
serviceName
是
String
Ingress绑定的目标Service名称。
servicePort
是
Integer
目标Service的访问端口。
ingress.beta.kubernetes.io/url-match-mode
否
String
路由匹配策略。
默认值:STARTS_WITH(前缀匹配)。
取值范围:
- EQUAL_TO:精确匹配
- STARTS_WITH:前缀匹配
- REGEX:正则匹配
表2 elb.autocreate字段数据结构说明 参数
是否必填
参数类型
描述
type
否
String
负载均衡实例网络类型,公网或者私网。
- public:公网型负载均衡
- inner:私网型负载均衡
默认值:inner
bandwidth_name
公网型负载均衡必填
String
带宽的名称,默认值为:cce-bandwidth-******。
取值范围:1-64个字符,小写字母,数字,下划线,小写字母开头,小写字母或者数字结尾。
bandwidth_chargemode
是
String
带宽付费模式。
- bandwidth:按带宽计费
- traffic:按流量计费
默认值:bandwidth
bandwidth_size
公网型负载均衡必填
Integer
带宽大小,默认取值范围为1Mbit/s~2000Mbit/s,具体范围请根据各Region配置为准。
- 注意:调整带宽时的最小单位会根据带宽范围不同存在差异。
- 小于等于300Mbit/s:默认最小单位为1Mbit/s。
- 300Mbit/s~1000Mbit/s:默认最小单位为50Mbit/s。
- 大于1000Mbit/s:默认最小单位为500Mbit/s。
bandwidth_sharetype
公网型负载均衡必填
String
带宽类型。
- PER:独享带宽
eip_type
公网型负载均衡必填
String
弹性公网IP类型。
- 5_telcom:电信
- 5_union:联通
- 5_bgp:全动态BGP
- 5_sbgp:静态BGP
name
否
String
自动创建的负载均衡的名称。
取值范围:1-64个字符,小写字母,数字,下划线,小写字母开头,小写字母或者数字结尾。
默认值:cce-lb+ingress.UID
available_zone
是
Array of strings
负载均衡所在可用区,必填项。
独享型负载均衡器独有字段。
l4_flavor_name
否
String
四层负载均衡实例名称。
独享型负载均衡器独有字段。
l7_flavor_name
是
String
七层负载均衡实例名称,必填项。
独享型负载均衡器独有字段。
ElbVirSubnetIDs
否
Array of strings
负载均衡后端所在子网,不填默认集群子网。不同实例规格将占用不同数量子网IP,不建议使用其他资源(如集群,节点等)的子网网段。
默认值:集群所在子网
独享型负载均衡器独有字段。
- 执行如下命令创建Ingress。
kubectl create -f ingress-test.yaml
回显如下,表示Ingress服务已创建。
ingress/ingress-test created
kubectl get ingress
回显如下,表示Ingress服务创建成功,工作负载可访问。
NAME HOSTS ADDRESS PORTS AGE ingress-test * 121.**.**.** 80 10s
- 访问工作负载(例如nginx工作负载),在浏览器中输入访问地址http://121.**.**.**:80进行验证。
其中,121.**.**.**为统一负载均衡实例的IP地址。
添加Ingress-对接已有ELB
- 1.15及以上集群版本中的apiVersion为: networking.k8s.io/v1beta1
- 1.13及以下集群版本中的apiVersion为: extensions/v1beta1
以1.15及以上集群版本为例,yaml文件配置如下:
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: ingress-test
annotations:
kubernetes.io/elb.id: <your_elb_id> #替换为您已有的ELB ID
kubernetes.io/elb.ip: <your_elb_ip> #替换为您已有的ELB IP
kubernetes.io/elb.port: '80'
kubernetes.io/ingress.class: cce
spec:
rules:
- host: ''
http:
paths:
- path: '/'
backend:
serviceName: <your_service_name> #替换为您的目标服务名称
servicePort: 80
property:
ingress.beta.kubernetes.io/url-match-mode: STARTS_WITH
参数 |
是否必填 |
参数类型 |
描述 |
|---|---|---|---|
kubernetes.io/elb.id |
是 |
String |
为负载均衡实例的ID,取值范围:1-100字符。 获取方法: 在控制台的“服务列表”中,单击“网络 > 弹性负载均衡 ELB”,单击ELB的名称,在ELB详情页的“基本信息”页签下找到“ID”字段复制即可。 |
kubernetes.io/elb.ip |
是 |
String |
为负载均衡实例的服务地址,公网ELB配置为公网IP,私网ELB配置为私网IP。 |
配置HTTPS证书
- 请参见通过kubectl连接集群,使用kubectl连接集群。
- 执行如下命令,创建名为“ingress-test-secret.yaml”的yaml文件。
vi ingress-test-secret.yaml
yaml文件配置如下:apiVersion: v1 data: tls.crt: LS0******tLS0tCg== tls.key: LS0tL******0tLS0K kind: Secret metadata: annotations: description: test for ingressTLS secrets name: ingress-test-secret namespace: default type: IngressTLS 此处tls.crt和tls.key为示例,请获取真实密钥进行替换。tls.crt和tls.key的值为Base64加密后的内容。
- 执行如下命令创建密钥:
kubectl create -f ingress-test-secret.yaml
回显如下,表明密钥已创建。
secret/ingress-test-secret created
kubectl get secrets
回显如下,表明密钥创建成功。
NAME TYPE DATA AGE ingress-test-secret IngressTLS 2 13s
- 执行如下命令,创建名为“ingress-test.yaml”的yaml文件。
vi ingress-test.yaml
- 安全策略选择(kubernetes.io/elb.tls-ciphers-policy)仅在1.17.11及以上版本的集群中支持。
以自动创建关联ELB为例,yaml文件配置如下:
apiVersion: networking.k8s.io/v1beta1 kind: Ingress metadata: name: ingress-test annotations: kubernetes.io/elb.class: union kubernetes.io/ingress.class: cce kubernetes.io/elb.port: '443' kubernetes.io/elb.subnet-id: <your_subnet_id> #替换为您的子网所在ID kubernetes.io/elb.enterpriseID: <your_enterprise_id> #替换为您的企业项目ID kubernetes.io/elb.autocreate: '{ "type":"public", "bandwidth_name":"cce-bandwidth-15511633796**", "bandwidth_chargemode":"bandwidth", "bandwidth_size":5, "bandwidth_sharetype":"PER", "eip_type":"5_bgp", "name":"james" }' kubernetes.io/elb.tls-ciphers-policy: tls-1-2 spec: tls: - secretName: ingress-test-secret rules: - host: '' http: paths: - path: '/' backend: serviceName: <your_service_name> #替换为您的目标服务名称 servicePort: 80 property: ingress.beta.kubernetes.io/url-match-mode: STARTS_WITH表4 关键参数说明 参数
是否必填
参数类型
描述
kubernetes.io/elb.tls-ciphers-policy
否
String
默认值:“tls-1-2”,为监听器使用的安全策略,仅在HTTPS协议下生效。
取值范围:
- tls-1-0
- tls-1-1
- tls-1-2
- tls-1-2-strict
各安全策略使用的加密套件列表详细参见表5。
tls
否
Array of strings
HTTPS协议时,需添加此字段。该字段可添加多项独立的域名和证书,详见配置服务器名称指示(SNI)。
secretName
否
String
HTTPS协议时添加,配置为创建的密钥证书名称。
表5 tls_ciphers_policy取值说明 安全策略
支持的TLS版本类型
使用的加密套件列表
tls-1-0
TLS 1.2
TLS 1.1
TLS 1.0
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:AES128-SHA256:AES256-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-SHA:AES256-SHA
tls-1-1
TLS 1.2
TLS 1.1
tls-1-2
TLS 1.2
tls-1-2-strict
TLS 1.2
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:AES128-SHA256:AES256-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
- 执行如下命令创建Ingress。
kubectl create -f ingress-test.yaml
回显如下,表示Ingress服务已创建。
ingress/ingress-test created
kubectl get ingress
回显如下,表示Ingress服务创建成功,工作负载可访问。
NAME HOSTS ADDRESS PORTS AGE ingress-test * 121.**.**.** 80 10s
- 访问工作负载(例如nginx工作负载),在浏览器中输入安全访问地址https://121.**.**.**:443进行验证。
其中,121.**.**.**为统一负载均衡实例的IP地址。
配置服务器名称指示(SNI)
- 用于SNI的证书需要指定域名,每个证书只能指定一个域名。支持泛域名证书。
- 安全策略选择(kubernetes.io/elb.tls-ciphers-policy)仅在1.17.11及以上版本的集群中支持。
apiVersion: networking.k8s.io/v1beta1
kind: Ingress
metadata:
name: ingress-test
annotations:
kubernetes.io/elb.class: union
kubernetes.io/ingress.class: cce
kubernetes.io/elb.port: '443'
kubernetes.io/elb.subnet-id: <your_subnet_id> #替换为您的子网所在ID
kubernetes.io/elb.enterpriseID: <your_enterprise_id> #替换为您的企业项目ID
kubernetes.io/elb.autocreate:
'{
"type":"public",
"bandwidth_name":"cce-bandwidth-******",
"bandwidth_chargemode":"bandwidth",
"bandwidth_size":5,
"bandwidth_sharetype":"PER",
"eip_type":"5_bgp",
"name":"james"
}'
kubernetes.io/elb.tls-ciphers-policy: tls-1-2
spec:
tls:
- secretName: ingress-test-secret
- hosts:
- example.top #签发证书时指定域名为example.top
secretName: sni-test-secret-1
- hosts:
- example.com #签发证书时指定域名为example.com
secretName: sni-test-secret-2
rules:
- host: ''
http:
paths:
- path: '/'
backend:
serviceName: <your_service_name> #替换为您的目标服务名称
servicePort: 80
property:
ingress.beta.kubernetes.io/url-match-mode: STARTS_WITH
路由到多个服务
Ingress可通过不同的匹配策略同时路由到多个后端服务,yaml文件中spec字段设置如下,通过访问“www.example.com/foo”、“www.example.com/bar”、“foo.example.com/”即可分别路由到三个不同的后端Service。
Ingress转发策略中注册的URL需与后端应用暴露的URL一致,否则将返回404错误。
spec:
rules:
- host: 'www.example.com'
http:
paths:
- path: '/foo'
backend:
serviceName: <your_service_name> #替换为您的目标服务名称
servicePort: 80
property:
ingress.beta.kubernetes.io/url-match-mode: STARTS_WITH
- path: '/bar'
backend:
serviceName: <your_service_name> #替换为您的目标服务名称
servicePort: 80
property:
ingress.beta.kubernetes.io/url-match-mode: STARTS_WITH
- host: 'foo.example.com'
http:
paths:
- path: '/'
backend:
serviceName: <your_service_name> #替换为您的目标服务名称
servicePort: 80
property:
ingress.beta.kubernetes.io/url-match-mode: STARTS_WITH
