配置集群API Server公网访问
您可以为Kubernetes集群的API Server绑定弹性公网IP(EIP),使集群API Server具备公网访问能力。
为API Server绑定EIP
- 登录CCE控制台,单击集群名称进入集群。
- 查看集群总览页,在右边“连接信息”下公网地址一栏,单击“绑定”。
- 选择一个已有的弹性公网IP。如果无可用IP,可单击“创建弹性IP”前往EIP控制台进行创建。
- 通过绑定EIP实现公网访问,集群存在风险,建议绑定的EIP配置DDoS高防服务或配置API Server访问策略。
- 绑定EIP将会短暂重启集群API Server并更新kubeconfig证书,请避免在此期间操作集群。
- 单击“确定”。
配置API Server访问策略
集群的API Server绑定EIP将会暴露到互联网,存在被攻击的风险,建议修改集群控制节点安全组规则。
- 登录CCE控制台,单击集群名称进入集群,在总览页面找到“集群ID”并复制。
- 登录VPC控制台,在左侧导航栏中选择“访问控制 > 安全组”。
- 在筛选栏中,选择筛选条件为“描述”,并粘贴集群ID进行筛选。
- 筛选结果中将会包含多个安全组,找到控制节点的安全组(以[cce集群名称]-cce-control开头),单击“配置规则”。
- 修改入方向的5443端口规则,单击“修改”。
- 根据需求修改允许访问的源地址。例如,客户端需要访问API Server的IP为100.*.*.*,则可添加5443端口入方向规则的源地址为100.*.*.*。
除客户端IP外,端口还需保留对VPC网段、容器网段和托管网格控制面网段放通,以保证集群内部可访问API Server。
如果您需要使用CloudShell功能,请保留5443端口对198.19.0.0/16网段放通,否则将无法访问集群。
- 修改完成后单击“确认”。