文档首页/ 云容器引擎 CCE/ 用户指南/ 集群/ 连接集群/ 配置集群API Server公网访问
更新时间:2024-06-17 GMT+08:00
分享

配置集群API Server公网访问

您可以为Kubernetes集群的API Server绑定弹性公网IP(EIP),使集群API Server具备公网访问能力。

为API Server绑定EIP

  1. 登录CCE控制台,单击集群名称进入集群。
  2. 查看集群总览页,在右边“连接信息”下公网地址一栏,单击“绑定”
  3. 选择一个已有的弹性公网IP。如果无可用IP,可单击“创建弹性IP”前往EIP控制台进行创建。

    • 通过绑定EIP实现公网访问,集群存在风险,建议绑定的EIP配置DDoS高防服务或配置API Server访问策略
    • 绑定EIP将会短暂重启集群API Server并更新kubeconfig证书,请避免在此期间操作集群。

  4. 单击“确定”。

配置API Server访问策略

集群的API Server绑定EIP将会暴露到互联网,存在被攻击的风险,建议修改集群控制节点安全组规则。

  1. 登录CCE控制台,单击集群名称进入集群,在总览页面找到“集群ID”并复制。
  2. 登录VPC控制台,在左侧导航栏中选择“访问控制 > 安全组”
  3. 在筛选栏中,选择筛选条件为“描述”,并粘贴集群ID进行筛选。
  4. 筛选结果中将会包含多个安全组,找到控制节点的安全组(以[cce集群名称]-cce-control开头),单击“配置规则”
  5. 修改入方向的5443端口规则,单击“修改”

  6. 根据需求修改允许访问的源地址。例如,客户端需要访问API Server的IP为100.*.*.*,则可添加5443端口入方向规则的源地址为100.*.*.*。

    除客户端IP外,端口还需保留对VPC网段、容器网段和托管网格控制面网段放通,以保证集群内部可访问API Server。

    如果您需要使用CloudShell功能,请保留5443端口对198.19.0.0/16网段放通,否则将无法访问集群。

  7. 修改完成后单击“确认”。

相关文档