在 ACK 叢集中,由於節點的動態擴縮容,導致IP地址頻繁變動。通過 ACK 叢集同步節點,自動同步 ACK 叢集內節點 IP 位址到Cloud Firewall地址簿,減少手動更新工作量,提高安全性。
使用須知
僅支援網路外掛程式為 Terway 的 ACK 叢集。如何查看網路外掛程式類型,請參見容器網路FAQ。
由於同步節點需要擷取叢集內部 Pod 的資訊,建立新的同步節點時,需要為Cloud Firewall角色授予叢集的RBAC許可權。
支援的地區和可用性區域
公用雲端支援的地區和可用性區域
地區 | 地區ID | 可用性區域 |
西南1(成都) | cn-chengdu | 可用性區域A、可用性區域B |
華南3(廣州) | cn-guangzhou | 可用性區域A、可用性區域B |
華南1(深圳) | cn-shenzhen | 可用性區域D、可用性區域E、可用性區域F |
華北2(北京) | cn-beijing | 可用性區域F、可用性區域G、可用性區域H、可用性區域I、可用性區域L |
華東2(上海) | cn-shanghai | 可用性區域B、可用性區域G、可用性區域M、可用性區域N |
華東1(杭州) | cn-hangzhou | 可用性區域H、可用性區域I、可用性區域J、可用性區域K |
中國香港 | cn-hongkong | 可用性區域B、可用性區域C |
新加坡 | ap-southeast-1 | 可用性區域A、可用性區域B、可用性區域C |
操作步驟
登入Cloud Firewall控制台。在左側導覽列,選擇,頁面中選擇ACK集群頁簽,單擊創建ACK集群同步節點彈出創建ACK集群同步節點頁面。
按照頁面說明,為Cloud Firewall角色(AliyunServiceRoleForCloudFW)執行授權操作。點選連結或按鈕均可前往授權頁面。
重要同一個叢集首次建立同步節點時,需要為Cloud Firewall角色授予叢集的至少為受限使用者及以上的 RBAC 許可權。
可以根據需求選擇需要進行存取控制的命名空間或所有命名空間授權。
此授權步驟許可權配置錯誤,會導致最後的健全狀態檢查不通過,致使節點建立失敗。
關於授權的詳細介紹,請參考使用RBAC授予叢集內資源操作許可權。
成功授權後回到節點建立頁面,點擊已完成授權,進行下一步。
如授權出現問題,可以點擊未授權,留在此頁面。
填寫同步節點資訊以完成建立。
配置項
說明
同步節點名稱
ACK 同步節點名稱,建議輸入有實際意義的名稱,方便您有效識別並應用該同步節點。
說明長度最大為64位,且只能包含中文、英文大小寫字母、數字以及符號 '._-'。
ACK叢集類型
僅支援ACK託管叢集。
ACK叢集所屬帳號
選擇要同步叢集的所屬帳號。後續資料會根據選擇載入。
說明移除成員帳號、解除綁定等操作,ACK叢集同步節點會被同步刪除。
所屬地區
選擇叢集所在地區。
叢集
選擇具體叢集,如建立叢集列表未顯示,可嘗試驗擊右側的
表徵圖。可用性區域與交換器
選擇節點可用性區域和交換器。選擇後會顯示對應 IP 位址段。
說明如果對網路規劃有嚴格要求,可為同步節點指定一個 IP 位址,不填則自動分配。
對災備有需求,可配置兩個可用性區域和交換器,如不需要,可點擊右側垃圾桶刪除此行。
同步周期
同步節點抓取叢集內 Pod IP 位址資訊的周期。最短為 10 秒。
同步節點資訊填寫完成後,點擊完成創建,則開始自動檢測、建立同步節點。
重要如授權雲防火牆RBAC權限不符合要求,此步會建立失敗。
其他動作
同步節點建立成功後,會在列表中顯示。
操作:
詳情:可查看同步節點配置詳情。
修改:可修改同步節點資訊。
說明目前的版本僅支援修改同步節點名稱和同步周期。如需修改其他,請刪除後重新建立節點。
刪除:可刪除當前同步節點。
說明當同步節點已經被地址簿引用時,需要先刪除地址簿,再刪除同步節點。
狀態:
執行個體狀態:代表當前同步節點執行個體的狀態。
健康狀態:代表當前同步節點的工作狀態。如不健康可以滑鼠懸浮表徵圖查看原因。如:
使用:
同步節點成功建立後,可在 ACK 地址簿中引用。具體操作參見建立自訂地址簿。