检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
CCE支持的容器网络类型包括:集群内访问(ClusterIP)、节点访问(NodePort)、负载均衡 (LoadBalancer)、DNAT网关(DNAT)、七层负载均衡(Ingress)、网络策略(NetworkPolicy)。
同一个NAT网关下的多条规则可以复用同一个弹性公网IP,不同网关下的规则必须使用不同的弹性公网IP。 每个VPC支持的NAT网关数为1。 用户不能在VPC下手动添加默认路由。 VPC内的每个子网只能添加一条SNAT规则。
使用共享VPC创建的集群不支持使用共享ELB及NAT网关功能。 使用共享VPC创建的集群暂不支持文件存储、对象存储和极速文件存储。 如果当前共享VPC下已创建CCE Turbo集群,则共享VPC的所有者不应删除该共享,否则将会导致CCE Turbo集群功能异常。
访问服务端所在节点IP+NodePort — 正常访问 访问非服务端所在节点IP+NodePort — 无法访问 独享型负载均衡类型Service 私网 与服务Pod同节点 无法访问 无法访问 无法访问 无法访问 与服务Pod同节点的其他容器 无法访问 无法访问 无法访问 无法访问 DNAT
如果需要NAT网关类型的服务,需要设置NAT Gateway Administrator权限。 如果使用对象存储,需要全局设置OBS Administrator权限。
服务(Service) 服务概述 集群内访问(ClusterIP) 节点访问(NodePort) 负载均衡(LoadBalancer) DNAT网关(DNAT) Headless Service 父主题: 网络
通过NAT网关配置SNAT规则,通过NAT网关访问公网。
图4 购买公网NAT网关 配置SNAT规则,为子网绑定弹性公网IP,具体请参见添加SNAT规则。 在NAT网关页面,单击需要添加SNAT规则的NAT网关名称。 在SNAT规则页签中,单击“添加SNAT规则”。 根据界面提示配置参数,请参见图5。
排查项四:NAT网关+端口 配置在NAT后端的服务器,通常不配置EIP,不然可能会出现网络丢包等异常。
DNAT网关 NAT网关提供网络地址转换服务,使多个云服务器可以共享弹性公网IP。 您需要提前创建公网NAT网关实例。 容器端口:指容器中工作负载启动监听的端口。端口根据每个业务的不同而不同,一般在容器镜像中已指定。
查看节点对应的弹性云服务器是否已绑定弹性IP或者配置NAT网关。 如图1,若弹性IP一栏有IP地址,表示已绑定弹性IP;若没有,请为弹性云服务器绑定弹性IP。 图1 节点是否已绑定弹性IP 排查项二:节点是否配置网络ACL 登录VPC控制台。
nat:*:get - NAT网关服务所有资源详情的查看权限。 nat:*:list - NAT网关服务所有资源列表的查看权限。 sfs:*:get* - SFS(弹性文件存储)所有资源详情的查看权限。
您可以通过NAT网关设置SNAT规则,使得容器能够访问Internet。
支持DNS级联 支持插件化管理 Kubernetes同步社区1.9.7版本 支持7层ingress的https功能 有状态工作负载支持迁移调度更新升级 v1.9.2-r3 主要特性: 集群支持创建/纳管CentOS7.4操作系统的节点 kubernetes的Service支持对接DNAT
支持DNS级联 支持插件化管理 Kubernetes同步社区1.9.7版本 支持7层ingress的https功能 有状态工作负载支持迁移调度更新升级 v1.9.2-r3 主要特性: 集群支持创建/纳管CentOS7.4操作系统的节点 kubernetes的Service支持对接DNAT
(可选)节点子网配置SNAT:如果Dex部署在其他集群,需要为集群所在VPC和节点所在子网创建公网NAT网关,允许kube-apiserver访问公网。具体操作请参见购买公网NAT网关。 步骤一:创建密钥(已有证书请忽略) 登录已安装kubectl和Helm的虚拟机。
您可以为集群配置SNAT规则以保证Pod能够访问公网,配置SNAT规则将涉及一定费用,具体请参见NAT网关价格计算器。 该插件当前正处于上线阶段,已发布区域请以控制台实际为准。
工作负载访问公网:访问公网有几种方法可以实现,一是让容器所在节点绑定公网IP(容器网络模型为VPC网络或容器隧道网络),或给Pod IP绑定公网IP(云原生2.0网络),另一个是通过NAT网关配置SNAT规则,具体请参见从容器访问公网。 图5 网络访问示意图 父主题: 网络
DNAT类型与节点访问类型相比增强了可靠性,弹性IP无需与单个节点绑定,任何节点状态的异常不影响其访问。 涉及NAT网关的费用,计费详情请参见NAT网关计费模式。 涉及EIP的费用,计费详情请参见EIP费用组成。
NAT网关 不支持通过CCE服务自动创建,请前往NAT控制台手动创建。 计费因子:规格实例费用 关于NAT网关计费详情请参见NAT网关计费模式。 包年/包月、按需计费 NAT网关单价 * 购买时长 NAT网关的价格目录请参见:NAT网关价格目录。
