您可以通過公網或內網訪問API Server以串連ACK叢集。除控制台外,您也可以使用命令列工具與叢集API Server進行互動,包括Kubernetes命令列工具kubectl、瀏覽器命令列工具Workbench和CloudShell。
1、配置叢集訪問方式和存取控制策略
您可以通過內網或公網方式訪問叢集API Server,並設定相應的存取控制策略。
內網訪問:建立 ACK 叢集時,ACK會自動為API Server建立一個私人網路的 CLB 執行個體,以提供內網串連端點。同一VPC下的資源可進行串連。
公網訪問:在自動建立的私網 CLB 執行個體的基礎上,您可以綁定一個彈性公網 EIP,以實現通過公網訪問API Server,請參見控制叢集API Server的公網訪問能力。
為避免API Server受到非法訪問,建議對 CLB 執行個體的 6443 連接埠監聽(Listener)配置存取控制策略。您可通過配置訪問黑白名單來實現安全性原則的管理,請參見配置叢集API Server的存取控制策略。
2、管理叢集KubeConfig
串連叢集時,您需要擷取叢集的訪問憑證KubeConfig,其中儲存了Kubernetes用戶端串連和認證叢集所需的資訊,支援公網和私網訪問。ACK支援為不同阿里雲帳號、RAM使用者或角色簽發KubeConfig。建議優先使用臨時的KubeConfig以降低安全風險,並謹慎維護KubeConfig的時效性。關於KubeConfig的擷取、吊銷、清除等操作指引,請參見管理KubeConfig。
3、選擇串連叢集的方式
您可以根據叢集是否支援公網訪問等因素來選擇串連和管理叢集的方式。
RAM使用者串連叢集前,除Container Service的系統許可權外,還需要被授予叢集操作的許可權,請參見授權。
RAM使用者存取控制台時,需配置對應的雲端服務許可權才能正常使用,請參見Container Service控制台許可權依賴。
命令列工具:除Kubernetes命令列工具kubectl外,阿里雲提供了瀏覽器命令列工具Workbench和CloudShell。
工具
描述
本地安裝①
內網訪問
公網訪問
文檔連結
標準的Kubernetes命令列管理工具。
需要①
支援
支援
阿里雲提供的瀏覽器內的ECS執行個體遠端連線工具,無需額外安裝軟體。
無需
支援
支援
阿里雲提供的瀏覽器內的Shell工具,相當於自動建立的一台Linux虛擬機器,其中預裝了多種語言及命令列工具。
無需
不支援
支援
①:Workbench和CloudShell可直接在瀏覽器中使用,kubectl需本地安裝(Worker節點已預裝kubectl)。
相關文檔
如果叢集內部的服務需要訪問外部公網資源,例如拉取公網鏡像、更新依賴庫等,您可以參見為叢集開啟訪問公網的能力。