ACK集群创建时会为API Server自动创建一个私网CLB实例。您可以将弹性公网IP EIP(Elastic IP Address)绑定到该CLB上,使得API Server可以从公网被访问。
使用说明
绑定和管理EIP
新建集群和存量集群均支持绑定EIP,以开启从公网访问API Server的能力,后续也支持更换或解绑。
更新(绑定、解绑和更换)EIP的过程中会滚动更新集群API Server。在此期间请勿操作集群。
绑定EIP
新建集群
创建集群时,勾选使用 EIP 暴露 API Server。
详细步骤,请参见创建ACK托管集群、创建ACK Serverless集群、创建ACK Edge集群。
存量集群
目前仅ACK托管集群、ACK Serverless集群、ACK Edge集群支持在存量集群中绑定EIP。
如需在存量ACK专有集群中绑定EIP,需将将ACK专有集群热迁移至ACK托管集群Pro版。
解绑或更换EIP
解绑EIP:解绑后,API Server仅支持通过内网访问,但集群内的应用访问不受影响。
更换EIP:更换后,AIP Server的公网端点将发生变化。
目前仅ACK托管集群和ACK Serverless集群支持更换 EIP和解绑 EIP。
登录容器服务管理控制台,在左侧导航栏选择集群列表。
在集群列表页面,单击目标集群名称,然后在左侧导航栏,选择集群信息。
在集群信息页面,单击基本信息页签,然后在网络区域,单击API server 公网端点右侧的更换或解绑,按照页面提示完成操作。
配置API Server的访问控制策略
开启API Server的公网访问后,强烈建议您配置API Server的访问控制策略,即通过黑白名单管控CLB的访问权限,避免API Server受到非法访问。
相关文档
如集群内部服务需要访问外部公网资源,例如拉取公网镜像、更新依赖库等,可通过SNAT网关为集群开启访问公网的能力。
如安全组中配置了拦截规则,请确保安全组规则已放行集群依赖的协议和端口。具体请参见配置集群安全组。